Upravljanje tveganj - labinf.fl.uni-mb.silabinf.fl.uni-mb.si/upravljanje-tveganj/upravljanje-tveganj.pdf · 14 Uvod kijenevtralendokakršnegakoliposlovanjaorganizacije. Predstavljadobroizhodiščeza

Upravljanje tveganj

Borut Jereb

Univerza v MariboruFakulteta za logistiko

Celje, 2014

Avtor: JEREB, Borut

Naslov: Upravljanje tveganj

Recenzenti: Izr. prof. dr. Bojan Rosi, Izr. prof. ddr. Teodora Ivanuša in Prof. dr. IztokPodbregar

Lektoriranje: Darja Kukovič, prof. zgod. in uni. dipl. polit.

Založnik: Univerza v Mariboru , Fakulteta za logistiko

Izdano: Decembra 2014 v Celju

Naklada: 200 izvodov

CIP - Kataložni zapis o publikacijiNarodna in univerzitetna knjižnica, Ljubljana

005:656(0.034.2)

JEREB, Borut, 1962-Upravljanje tveganj [Elektronski vir] / Borut Jereb. - El. knjiga. - Celje :

Fakulteta za logistiko, 2014

Način dostopa (URL): http://labinf.fl.uni-mb.si/upravljanje-tveganj/ISBN 978-961-6962-03-2

277108736CIP - Kataložni zapis o publikacijiNarodna in univerzitetna knjižnica, Ljubljana

005:656

JEREB, Borut, 1962-Upravljanje tveganj / Borut Jereb. - Celje : Fakulteta za logistiko, 2014

ISBN 978-961-6962-04-9

277109248

3

Knjiga je urejena s programom LATEX. TEX je blagovna znamka American MathematicalSociety.

To delo je objavljeno pod licenco Creative Commons: "Priznanje avtorstva – Nekomer-cialno – Brez predelav (verzija 2.5. in več)". Besedilo licence je na voljo na internetnemnaslovu http://www.creativecommons.si

Pri pošiljanju predlogov za spremembe in dopolnitve te publikacije se STRINJAM ZNASLEDNJO IZJAVO: V kolikor bo avtor publikacije upošteval moje predloge spre-memb publikacije in bodo le te dodane v novejšo verzijo publikacije, se odpovedujemvsem materialnim avtorskim pravicam, ki izhajajo iz mojega avtorskega dela in se stri-njam z objavo mojega imena med avtorji publikacije. Naslov za pošiljanje predlogov [email protected].

Za potrpežljivo delo lektoriranja in za vse nasvete pri nastajanju besedila se zahvaljujemDarji Kukovič, profesorici zgodovine in univerzitetni diplomirani politologinji.

http://www.creativecommons.si

mailto:[email protected]

Kazalo

1 Uvod 13

1.1 Problem definicije in razumevanja pojma tveganje . . . . . . . . . . . . . . 15

2 Standard ISO 31000:2009 19

2.1 Struktura dokumenta ISO 31000 . . . . . . . . . . . . . . . . . . . . . . . 202.2 Termini in definicije po ISO 31000 . . . . . . . . . . . . . . . . . . . . . . 20

2.2.1 Tveganje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202.2.2 Upravljanje tveganj . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.2.3 Okvir za učinkovito upravljanje tveganj . . . . . . . . . . . . . . . 222.2.4 Politika ukvarjanja s tveganji . . . . . . . . . . . . . . . . . . . . . 232.2.5 Odnos do tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.2.6 Planiranje upravljanja tveganj . . . . . . . . . . . . . . . . . . . . . 232.2.7 Lastnik tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232.2.8 Proces upravljanja tveganj . . . . . . . . . . . . . . . . . . . . . . . 232.2.9 Vzpostavitev okvirov . . . . . . . . . . . . . . . . . . . . . . . . . . 232.2.10 Zunanji okvir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242.2.11 Notranji okvir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242.2.12 Komunikacija in posvetovanje . . . . . . . . . . . . . . . . . . . . . 242.2.13 Interesna skupina . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252.2.14 Ocenjevanje tveganja (Risk Assesment) . . . . . . . . . . . . . . . 252.2.15 Prepoznavanje tveganja (Risk Identification) . . . . . . . . . . . . . 252.2.16 Vir tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252.2.17 Dogodek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.2.18 Posledice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.2.19 Verjetnost (Likelihood) . . . . . . . . . . . . . . . . . . . . . . . . . 262.2.20 Profil tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

6 KAZALO

2.2.21 Analiza tveganja (Risk Analysis) . . . . . . . . . . . . . . . . . . . 272.2.22 Vrednotenje tveganja (Risk Evaluation) . . . . . . . . . . . . . . . 272.2.23 Nivo tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.2.24 Ocena tveganja (Risk Assesment) . . . . . . . . . . . . . . . . . . . 272.2.25 Obravnava tveganja (Risk Treatment) . . . . . . . . . . . . . . . . 282.2.26 Nadzor (Supervision) . . . . . . . . . . . . . . . . . . . . . . . . . . 282.2.27 Preostalo tveganje (Residual Risk) . . . . . . . . . . . . . . . . . . 282.2.28 Spremljanje (Monitoring) . . . . . . . . . . . . . . . . . . . . . . . 292.2.29 Pregled (Review) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.3 Principi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292.4 Okvir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.4.1 Pooblastila in obveznosti . . . . . . . . . . . . . . . . . . . . . . . . 322.4.2 Oblikovanje okvira za upravljanje tveganj . . . . . . . . . . . . . . 322.4.3 Implementacija upravljanja tveganj . . . . . . . . . . . . . . . . . . 362.4.4 Spremljanje in pregled okvira . . . . . . . . . . . . . . . . . . . . . 362.4.5 Nenehno izboljševanje okvira . . . . . . . . . . . . . . . . . . . . . 37

2.5 Proces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.5.1 Komunikacija in posvetovanje . . . . . . . . . . . . . . . . . . . . . 382.5.2 Vzpostavitev okvira . . . . . . . . . . . . . . . . . . . . . . . . . . 392.5.3 Ocenjevanje tveganj . . . . . . . . . . . . . . . . . . . . . . . . . . 412.5.4 Prepoznavanje/identificiranje tveganj . . . . . . . . . . . . . . . . . 422.5.5 Analiza tveganj . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422.5.6 Vrednotenje tveganj . . . . . . . . . . . . . . . . . . . . . . . . . . 432.5.7 Obravnava tveganj . . . . . . . . . . . . . . . . . . . . . . . . . . . 432.5.8 Spremljanje in pregledovanje . . . . . . . . . . . . . . . . . . . . . 452.5.9 Evidentiranje v procesu upravljanja tveganj . . . . . . . . . . . . . 46

3 Nekateri drugi standardi povezani z upravljanjem tveganj 47

3.1 ISO 31010:2009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473.1.1 Izbira tehnike . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493.1.2 Razpoložljivost virov . . . . . . . . . . . . . . . . . . . . . . . . . . 493.1.3 Narava in stopnja negotovosti . . . . . . . . . . . . . . . . . . . . . 493.1.4 Kompleksnost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

3.2 ISO/IEC 27005:2011 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513.2.1 Proces upravljanja informacijskih tveganj . . . . . . . . . . . . . . 53

KAZALO 7

3.2.2 Določitev konteksta . . . . . . . . . . . . . . . . . . . . . . . . . . 553.2.3 Prepoznavanje tveganja . . . . . . . . . . . . . . . . . . . . . . . . 563.2.4 Okvirna ocena tveganja . . . . . . . . . . . . . . . . . . . . . . . . 573.2.5 Vrednotenje tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . 583.2.6 Obravnava tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . 583.2.7 Sprejetje tveganj . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603.2.8 Obveščanje o tveganju . . . . . . . . . . . . . . . . . . . . . . . . . 603.2.9 Nadzor in ocenjevanje tveganja . . . . . . . . . . . . . . . . . . . . 61

3.3 ISO 28000:2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

4 Princip modeliranja tveganj s segmentacijo javnosti 634.1 Definicija tveganja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

4.1.1 Negotovost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654.1.2 Izpostavljenost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654.1.3 Tveganje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

4.2 Principi oblikovanja modela . . . . . . . . . . . . . . . . . . . . . . . . . . 664.2.1 Predstavitev procesov . . . . . . . . . . . . . . . . . . . . . . . . . 674.2.2 Opis stanja procesa s parametri in časovna dimenzija modela . . . 684.2.3 Vhodi in izhodi procesa ter segmentacija na tveganja in vplive . . . 694.2.4 Segmentiranje glede na izvor in ponor vhodov in izhodov opazova-

nega sistema opravil . . . . . . . . . . . . . . . . . . . . . . . . . . 704.2.5 Segmentiranje glede na različne javnosti . . . . . . . . . . . . . . . 734.2.6 Meje sprejemljivosti . . . . . . . . . . . . . . . . . . . . . . . . . . 76

5 Katalog tveganj v oskrbovalni verigi 815.1 Model za ocenjevanje tveganj . . . . . . . . . . . . . . . . . . . . . . . . . 82

5.1.1 Segmentiranje tveganj po ISO 28000 . . . . . . . . . . . . . . . . . 825.1.2 Segmentiranje tveganj glede na vpliv na sredstva logistike . . . . . 835.1.3 Segmentacija tveganj glede na nosilce tveganj – javnosti . . . . . . 845.1.4 Segmentiranje tveganj glede na izvor . . . . . . . . . . . . . . . . . 855.1.5 Segmentiranje tveganj glede na poslovno ali tehnološko dejavnost . 865.1.6 Nadaljnje definicije, ki so potrebne pri procesu ocenjevanja tveganj 86

5.2 Katalog tveganj v oskrbovalnih verigah . . . . . . . . . . . . . . . . . . . . 875.3 Zaključna diskusija o Katalogu . . . . . . . . . . . . . . . . . . . . . . . . 89

8 KAZALO

Slike

2.1 Relacije med principi, okvirom in procesom standarda ISO 31000 . . . . . 212.2 Relacije med komponentami okvira upravljanja tveganj . . . . . . . . . . . 312.3 Aktivnosti procesa upravljanja tveganj in njihove medsebojne relacije . . 38

3.1 Uporabnost posameznih metod pri ocenjevanju tveganj (izsek iz ISO 31010) 503.2 Aktivnosti pri upravljanju informacijskih tveganj . . . . . . . . . . . . . . 543.3 Obravnava tveganj . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

4.1 Poenostavljen poslovni proces, pri katerem uradnik A pregleduje in usmerjaprispele dokumente v poslovna procesa B (k uradniku B) in C (k uradnikuC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

4.2 Proces Pk s splošnimi vhodi in izhodi ter parametri, ki opisujejo njegovanotranja stanja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

4.3 Proces Pk z vhodom, ki ga sestavljajo splošen vhod in tveganja, in z izho-dom, ki ga sestavljajo splošen izhod in vplivi . . . . . . . . . . . . . . . . 71

4.4 Zlitje slik 4.2 in 4.3, kjer imamo opravka s segmentiranim vhodom inizhodom ter z notranjimi stanji . . . . . . . . . . . . . . . . . . . . . . . . 71

4.5 Segmentacija vhodov in izhodov sistema procesov glede na to, ali gre zainterne ali eksterne izvore in ponore . . . . . . . . . . . . . . . . . . . . . . 72

4.6 Segmentacija tveganj in vplivov na množico internih in eksternih . . . . . 73

5.1 Izsek strani na zavihku s podatki v Katalogu tveganj oskrbovalnih verig . 905.2 Izsek strani na zavihku z opisom modela v Katalogu tveganj oskrbovalnih

verig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

10 SLIKE

Tabele

3.1 Prekrivanje ISMS po ISO 27001 (Information Security Management Sy-stem) procesov z aktivnostmi procesa obvladovanja informacijskih tveganj 55

4.1 Objektivne negotovosti glede na posamezna tveganja in javnosti . . . . . . 784.2 Subjektivne negotovosti glede na posamezna tveganja in javnosti . . . . . 794.3 Izpostavljenost glede na posamezna tveganja in javnosti . . . . . . . . . . 794.4 Izračunana tveganja glede na posamezne javnosti . . . . . . . . . . . . . . 794.5 Sprejemljiva tveganja za posamezne javnosti . . . . . . . . . . . . . . . . . 80

12 TABELE

Poglavje 1

Uvod

Organizacije, katerih delovanje je zelo regulirano, kot je to v primeru finančnih institucij,telekomunikacijskih podjetij, energetskega sektorja, zdravstva in farmacevtske industrijeter podobnih, je upravljenje tveganj v veliki meri vpeto v njihovo vsakodnevno poslovanježe mnogo let. Pri mnogih organizacijah pa se šele v zadnjem času stanje spreminja v smerizavedanja pomena učinkovitega upravljanja tveganj. Praksa kaže, da se vrh upravljavskepiramide v organizacijah začenja zavedati pomena upravljanja tveganj, ob tem pa se večještevilo zaposlenih v poslovnem svetu začenja ukvarjati s tveganji. Upravljanje tveganj ses časom prenese povsem na operativni nivo in od tam nazaj na poslovni nivo upravljanja,saj se tveganja prenašajo iz nivoja na nivo in jih ne moremo upravljati izolirano, vsakozase. Prenašajo se tudi po horizontali med samimi oddelki. Največkrat se organizacijazave upravljanja tveganj, kot samostojnega področja delovanja, v času priprave načrtovza neprekinjeno poslovanje.

Ne glede na dobrodošle spremembe, upravljanje s specifičnimi tveganji, kot so tve-ganja v IT ali logistiki, običajno še vedno niso sestavni del strateškega načrtovanja vorganizacijah. IT, logističnih in drugih specifičnih tveganj v vrhu upravljavske piramideorganizacije še vedno ne zaznavajo kot področja, ki bi zahtevalo predstavnika „tveganj”(to je lastnika „tveganj”) v vodstvu. Seveda smo tudi pri srednjem upravljavskem nivojudaleč od idealnih razmer: četudi upravljavci tveganj igrajo osrednjo vlogo pri analizi inobravnavi tveganj v organizaciji, še vedno kronično primanjkuje osebja in znanja.

V praksi se pojavlja tudi problem pri učinkoviti in pragmatični realizaciji upravljanjatveganj po tem, ko je že opravljena korektna ocena tveganja, saj ne pride do premišljeneodločitve, kaj s tveganjem napraviti – pa čeprav bi to pomenilo odločitev, da gledenekega tveganja ne naredimo ničesar. V takšnem okolju je nastal standard ISO 31000,

14 Uvod

ki je nevtralen do kakršnega koli poslovanja organizacije. Predstavlja dobro izhodišče zavse, ki se šele začenjajo ukvarjati z tveganji, in za tiste, ki iščejo nekaj več.

ISO 31000 je pisan v poslovnem jeziku z namenom razumevanja ključnih konceptovin terminologije pri upravljanju tveganj. Prispeva h konsistentnosti upravljanja tveganj spregledom tehnik in metod. Definira izrazoslovje in tako rešuje pereče probleme uporabeskupnega jezika za opisovanje tveganja, merjenja vplivov, verjetnosti, negotovosti terostalih dimenzij upravljanja tveganj med tehnološko in poslovno usmerjenim kadrom vorganizaciji in med organizacijami.

Nek vsesplošno priznan standard ali okvir za upravljanje tveganj je namreč potreben,saj mora vsaka organizacija vsaj:

1. poenotiti jezik za delo s tveganji;

2. uporabiti skupno metriko za delo s tveganji ne glede na področje uporabe (po-slovno, tehnološko, itd);

3. varnost na vsakem področju delovanja (tudi na področju IT in logistike, na primer)je potrebno integrirati v splošno varnost organizacije;

4. tveganja vsakega področja je potrebno znati predstaviti v kontekstu ali jih prevestiv poslovna tveganja; in navsezadnje

5. vsa tveganja prevesti v jasno sliko investicij.

ISO 31010 podpira standard ISO 31000 v tistem delu, ki se ukvarja s prepoznavanjemin ocenjevanjem tveganj. Oboje je sestavni del upravljanja tveganj. Standard je podlagaza odločanje o najustreznejšem pristopu za obvladovanje posameznega tveganja, je pomočpri implementaciji principov obvladovanja tveganj (iz ISO 31000).

ISO/IEC 27005 opisuje proces upravljanja tveganj in njegove aktivnosti, s katerimizagotavljamo informacijsko varnost. Ne določa, ne predlaga, ne imenuje kakršne kolimetode za analizo tveganj. Določa pa strukturirane, sistematične in natančno določeneprocese (od analize do izdelave načrtov upravljanja).

ISO/IEC 27001 je mednarodni standard, ki podaja model za vzpostavitev, izvajanje,upravljanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje sistema informacij-ske varnosti. Učinkovit sistem upravljanja informacijske varnosti predpostavlja sistema-tično upravljanje informacijskih tveganj, ki mora biti skladno s potrebami, usmeritvamiin okoljem v katerem organizacija deluje. Navsezadnje mora biti upravljanje informa-cijskih tveganj v skladu z upravljanjem vseh tveganj, s katerimi se organizacija srečuje.

1.1 Problem definicije in razumevanja pojma tveganje 15

Varnostne usmeritve se nanašajo na pravočasno in učinkovito upravljanje tveganj na po-dročjih in v času, kjer in ko je to potrebno. Gre za proces, ki ga je potrebno vzpostavitiin ga po vzpostavitvi stalno izvajati in dopolnjevati.

Pomembnejši standard s področja varnosti v logistiki, ki se neposredno nanašajo tudina upravljanje tveganj, je ISO 28000, katerega namen je izboljšanje varnosti oskrbovalneverige. Namenjen je upravljavskemu nivoju organizacije, ki je v pomoč pri vzpostavitvicelovitega sistema upravljanja varnosti oskrbovalne verige tako, da organizacija oceniokolje v katerem deluje in ugotovi, ali so vzpostavljeni ustrezni varnostni ukrepi, in aliorganizacija izpolnjuje vse zakonske zahteve.

V tem poglavju bo še opisan model tveganj, ki temelji na segmentaciji javnosti. V temmodelu je bistvena predpostavka, da so tveganja lastna ljudem in ne stvarem ali pojmom.Princip modeliranja tveganj predvideva, da moramo model sistema procesov ter vhodein izhode v procese segmentirati prav tako kakor javnost, pri kateri želimo tveganjamodelirati in simulirati. Tovrstni pristop zahteva bistveno kompleksnejše modeliranjetveganj kot je danes najpogosteje v uporabi, vendar po drugi strani prinaša večjo zaupanjev modeliranje, saj je bliže realnosti življenja.

Na koncu poglavja bo opisan še primer kataloga tveganj, kot rezultat konvencional-nega prepoznavanja in ocenjevanja tveganj, ki vsebuje vsa prepoznana in opisana tveganjas področja oskrbovalne verige. Proces upravljanja tveganj je zahteven in zato velikokratpočasen in ne dovolj natančen. Ideja prosto dostopnega kataloga vseh do sedaj prepo-znanih tveganj pa organizacijam nudi možnost, da pri procesu uporabijo tudi zunanjaznanja, ko se lotevajo upravljanja tveganj. Katalog tveganj vsebuje tveganja v oskrbo-valni verigi, ki so bila prepoznana v organizacijah z različnih področij delovanja. Zatoje lahko odličen vir informacij za širok spekter organizacij, ki pristopajo k upravljanjutveganj, saj ga lahko uporabljajo kot smernice za prepoznavanje tveganj in kot opomnik,s katerim ugotovijo, katera od že identificiranih tveganj iz kataloga lahko prepoznajo tudiznotraj svoje organizacije.

1.1 Problem definicije in razumevanja pojma tve-

ganje

Tveganja so del našega bivanja in videti je, kot da se ljudje še nikoli do sedaj nismo tolikoukvarjali z izzivi tveganj, kot ravno v današnjem času. Tveganja so predmet obravnavev številnih člankih, komentarjih in pogovorih. Prav tako obstaja veliko različnih doje-

16 Uvod

manj in definicij tega pojma. Tudi če se neka javnost uskladi glede definicije tveganja,še ne jamči mnenjske usklajenosti: Kako tveganja zaznati? Kako jih meriti? Katerimtveganjem smo v katerem trenutku izpostavljeni? Kolikšne so posledice izpostavljeno-sti tveganjem – kakšen je njihov vpliv? Katera in kako velika tveganja so sprejemljiva?Za koga so sprejemljiva in za koga ne? Kako se tveganja spreminjajo skozi čas? Kakovplivajo posamezno, kako združeno? Kakšen je njihov medsebojni vpliv in kakšne soposledice teh interakcij? Kako jih upravljati? Kako ovrednotiti potrebna sredstva zazmanjšanje tveganj? Odprtih vprašanj je še veliko in dajejo slutiti kompleksnost pro-blema, na katerega naletimo, ko skušamo tveganja celovito obravnavati in jih upravljati.

Kaj pomeni pojem tveganje razumemo, vendar ima ta pojem številne različne inter-pretacije. Poglejmo si nekatere izmed njih:

1. V spletnem slovarju BusinessDictionary.com [1] je podanih šest definicij z različ-nih področij. Prva definicija je splošna in pravi, da je tveganje: „Verjetnost alinevarnost za nastanek škode, poškodbe, izgube, kršenja obveznosti ali kakšen drugnegativen dogodek, ki ima zunanje ali notranje vzroke in ga je mogoče vnaprejnevtralizirati z zaščitnimi akcijami.” Druga definicija je s finančnega področja inopisuje sedemnajst različnih kombinacij in pomenov besede tveganje. Sledijo šedefinicije s področja prehrambene industrije, zavarovalništva, trgovine in navseza-dnje delovnega mesta. Slednja pravi, da je tveganje: „Produkt resnosti posledic invpliva verjetnosti nekega tveganega dogodka ali fenomena.”

2. V spletnem slovarju InvestorWords.com [4] je tveganje opisano kot: „. . .merljivaverjetnost za izgubo ali izgubo zaradi zmanjšanja . . . ” Tudi tu ponujajo definicijev dvajsetih kombinacijah besede tveganje s kakšno drugo besedo.

3. Na Wikipediji [26] je v članku o pojmu tveganje napisano, da definicija besedepotrebuje dodatno pozornost ekspertov, kar kaže na to, da obstaja mnenje, da be-seda ni dovolj dobro definirana, kljub temu, da je prispevek nadpovprečno dolg inupošteva mnoge vidike. Med drugim je v prispevku zapisano, da je tveganje kon-cept, ki natančno opisuje verjetnosti za posamezne možne izzide. V nadaljevanjuje opisano, da je tveganje potrebno opisati kvalitativno in kvantitativno. Citirajotudi Franka Knighta, ki je v svojem delu [6] razmeji tveganje in negotovost.

4. Adam Green [2] v svojem članku pravi, da vsaka definicija tveganja prinaša subjek-tiven pogled na to, kaj tveganje je, glede na področje in način uporabe. V svojemdelu, ki govori o vodenju projektov, predstavi tudi definicijo, kjer je tveganje enako

1.1 Problem definicije in razumevanja pojma tveganje 17

produktu med nevarnostjo in izpostavljenostjo in je izpostavljenost enaka vplivuškode na tisto ali tistega, na katerega škoda vpliva. Na vsak način je zanj osrednjipojem nevarnost, da se zgodi slučajni dogodek (hazard).

5. Po Johnathanu Munu [23] sta pojma negotovost in tveganje različna, vendar po-vezana. Tveganja so nekaj, kar je nekomu ali nečemu lastno in je posledica ne-gotovosti. Isti avtor pravi, da je na začetku vedno negotovost in z njo povezanatveganja, ki s časom, v katerem se izvajajo neke akcije in dogajajo dogodki, prei-dejo v dejstvo. Mun tudi trdi, da se lahko soočimo z negotovostjo, ki sploh nimatveganja. To opisuje na primeru strmoglavljenja letala, na katerem sta dve osebiin eno staro padalo, za katerega ne vemo, ali se bo ob uporabi sploh odprlo ali ne.Obe osebi sta v enaki negotovosti glede tega, ali se bo padalo odprlo ali ne. Če jeobjekt negotovosti staro padalo in se obe osebi dogovorita, kdo bo uporabil padalo,potem bo oseba s padalom prevzela vso tveganje glede odprtja padala od trenutka,ko bo oseba izskočila iz padajočega letala, pa do trenutka, ko se bo padalo odprlooziroma bo ostalo zaprto. Medtem druga oseba, ki nima padala, ne bo v ničemertvegala glede delovanja padala, obenem pa nima možnosti, da preživi.

Iz različnosti zgornjih definicij je mogoče sklepati, da vsako področje pojem tveganjeopredeljuje drugače; tudi v okviru področij se krešejo mnenja o različnih interpretacijahin celo pri posameznem primeru imamo opraviti z različnimi, nemalokrat nasprotujočimimnenji o tveganjih.

Vsako področje ima tako svojo definicijo tveganj ali prevzame eno od obstoječih. Tedefinicije niso popolne, saj gre za kompleksen pojem, kar potrjuje že njihova številnost.Uporaba posameznih definicij, ki reducirajo kompleksnost tveganj, je verjetno nujna,da v eksaktnih znanstvenih disciplinah sploh lahko uporabljamo ta pojem. Zavedatise moramo, da so tveganja zanimiva aktualna problematika. Veliko ljudi se ukvarja zmodeli tveganj (VaR, SARA, SPRINT), ki so vedno bolj kompleksni in upoštevajo vseveč lastnosti tveganj oziroma parametrov. Tu so še standardi in ogrodja za upravljanjetveganj (ISO 31000, AS/NZ 4360 COSO ERM, IT Risk Management Framework).

Pri iskanju definicije tveganja smo v bližnji preteklosti prišli do točke, ko se v okvirumednarodne institucije ISO niso mogli poenotiti glede ključne opredelitve glede definicijetveganja. Tako v standardu ISO/IEC 27005:2008 Information technology – Security te-chniques – Information security risk management manjkala natančna definicija terminov,kot so: nevarnost (grožnja), ranljivost, verjetnost (likelihood), kot je v uporabi pri študijutveganj ter predstavlja kombinacijo grožnje in ranljivosti, ter navsezadnje tveganje [21].

18 Uvod

Kmalu po izidu standarda je v članku na ta problem opozoril Steven J. Ross [24]. V temprimeru, ki pa zdaleč ni edini, smo se soočali z vprašanjem natančne in jasne obravnaveproblematike, ko osnovni pojmi problematike niso bili nedefinirani. O čem je govorilISO/IEC 27005 (v stari verziji), če ne vemo, kaj tveganje je? Standard je bil napisantako splošno, da bi se ga dalo verjetno uporabiti tudi na drugih področjih (na primerna področju logistike). Vsekakor pa so ostajala odprta vprašanja, kaj tveganja so, kakojih določiti in upravljati. Standard je govoril tudi o tem, da tveganja ocenjujemo s splo-šnega in podrobnega nivoja. Torej smo se lotevali delitve tveganj na splošen in podrobennivo, a še vedno nismo vedeli, kaj tveganje točno je. Takšnemu stanju smo bili pričado nove verzije standarda, ki nosi oznako ISO/IEC 27005:2011 (izšel je leta 2011) in jebila sinhronizirana z ISO 31000. Nedorečena pa ostajajo še številna področja, kjer sepogovarjamo o tveganjih, ne da bi bil sam pojem, za potrebe področja, definiran.

Poglavje 2

Standard ISO 31000:2009

ISO 31000:2009 [7] določa načela in splošne smernice za upravljanje tveganj. Uporabljase za vse vrste tveganj, ne glede na njihovo naravo, in predvideva tako pozitivne ka-kor tudi negativne posledice. Namenjen je organizacijam vseh vrst, ne glede na njihovospecifičnost. Čeprav določa splošne smernice, pri tem ne zahteva enotnosti pri upra-vljanju tveganj. Pri vzpostavitvi in implementaciji načrtov in okvirov za upravljanjatveganj upošteva različnost potreb v organizacijah, posebnosti njihovih ciljev, kontekst,strukturo, načina delovanja, procese, funkcije, projekte, izdelke, storitve in sredstva terspecifičnosti obstoječih praks.

Zaradi splošnega konteksta omogoča celovita navodila za upravljanje tveganj na raz-ličnih področjih in je tako namenjen organizacijam vseh velikosti in vseh vrst, ne glede nanjihovo specifičnost (organizacijam s področja financ, inženirstva, varnosti, in ostalim).

Namenjen je uporabi skozi celotno življenjsko dobo organizacije z najširšim razpo-nom dejavnosti, ki vključuje tudi vzpostavitev strategij, odločanje, poslovanje, izvajanjeprojektov, izvajanje ostalih funkcij organizacije, proizvodnjo in upravljanje z izdelki, sto-ritvami in sredstvi ter podobnim.

Standard že takoj na začetku definira tveganje, ko pravi: Organizacije različnih tipovin velikosti so soočene z notranjimi in zunanjimi faktorji in vplivi, ki povzročajo negoto-vost glede časa, v katerem bo organizacija dosegla svoje cilje in glede tega, če jih splohbo dosegla. Učinek negotovosti glede doseganja ciljev organizacije je „tveganje”.

Standard ni namenjen temu, da bi se organizacije v skladu z njim certificirale.

Proces upravljanja tveganj v organizaciji ali v celotni oskrbni verigi je priporočljivozastaviti v okviru cikla Plan-Do-Check-Act (PDCA), ki je že uveljavljen procesni cikel,tudi v okviru standarda ISO 9001. Osnovna ideja cikla je, da proces najprej zasnujemo in

20 Standard ISO 31000:2009

načrtujemo (Plan), nato ga uvedemo oziroma izvedemo (Do), ga preverjamo in nadzoru-jemo (Check) ter na podlagi ugotovitev prilagajamo, spreminjamo in dopolnjujemo, terstalno izboljšujemo (Act). Standard ISO 31000 pri svojem okvirju za upravljanje tveganjuporablja cikel PDCA, prirejen za namene upravljanja tveganj. Slika 2.1 prikazuje rela-cije med principi, okvirom in procesom upravljanja tveganj po ISO 31000. V splošnemstandard določa arhitekturo za učinkovito upravljanje tveganj. Gradniki te arhitekturepa so principi, okvir in proces.

2.1 Struktura dokumenta ISO 31000

Standard sestavlja pet poglavij in dodatek – skupaj 23 strani.

Po uvodu sledi pomembno poglavje z definicijami in opisom posameznih terminov.Gre za povzetek dokumenta ISO Guide 73:2009, Risk Management – Vocabulary [9].To poglavje je za razumevanje celotnega standarda nepogrešljivo in zavzema polnih šeststrani.

Tretje poglavje predstavi ključnih enajst principov uspešnega upravljanja tveganjv neki organizaciji. Za predstavitev teh principov porabi dobro stran. V dodatku jeopisanih nekaj nadaljnjih usmeritev za organizacije, ki si želijo učinkoviteje upravljatitveganja.

Četrto poglavje opisuje okvir za učinkovito upravljanje tveganj, ki naj bi bil vsebovanna vseh nivojih organizacije. Okvir zagotavlja, da se o tveganjih ustrezno poroča tako,da je mogoče na osnovi informacij (informacije nastanejo v procesu upravljanja tveganj)sprejemati ustrezne odločitve – seveda na vseh nivojih vodenja organizacije. Okvir jeopisan na petih straneh.

Zadnje poglavje na osmih straneh podrobno opisuje proces upravljanja tveganj. Se-stavljen je iz petih glavnih aktivnosti. Osrednja aktivnost je ocenjevanje tveganj, ki gapa podrobneje opisuje ISO/IEC 31000, in je skupno ime za (pod)aktivnosti identifikacije,analize in vrednotenje tveganj.

2.2 Termini in definicije po ISO 31000

2.2.1 Tveganje

Učinek negotovosti pri doseganju ciljev.

2.2 Termini in definicije po ISO 31000 21

Slika 2.1: Relacije med principi, okvirom in procesom standarda ISO 31000


Opomba 1 Negotovost je odklon od pričakovanega (pozitiven in/ali negativen).

Opomba 2 Cilji organizacije lahko imajo različne vidike (kot npr. finančni, vidik zdravjain varnosti te okoljevarstveni) in se lahko upoštevajo na različnih nivojih (kot npr.strateški, nivo celotne organizacije, nivo izdelkov in procesov).

Opomba 3 Tveganje je pogosto opisano kot referenca morebitnim dogodkom in posledi-cam oziroma kombinacij obeh.

Opomba 4 Tveganje je pogosto izraženo kot kombinacija posledic nekega dogodka (tu-kaj so vštete tudi možne spremembe okoliščin) in s tem povezane verjetnosti dolo-čenega pojava.

Opomba 5 Negotovost je stanje, ki se delno pojavi takrat, ko se zgodi pomanjkanjeinformacij in/ali znanj, povezanih z razumevanjem oziroma poznavanjem dogodka,njegovih posledic ali verjetnosti.

2.2.2 Upravljanje tveganj

Koordinirane aktivnosti upravljanja in kontroliranja organizacije v povezavi s tveganjem,ki dajejo okvir za učinkovito upravljanje tveganj.

2.2.3 Okvir za učinkovito upravljanje tveganj

Gre za sklop sestavin, ki zagotavljajo temeljne in organizacijske ureditve za oblikova-nje, vpeljavo, nadzorovanje, poročanje in nenehno izboljšavo upravljanje tveganj celotneorganizacije.

Opomba 1 Temelji, ki vključujejo politiko, cilje, pooblastila in zavzetost upravljanjutveganj ;

Opomba 2 Organizacijski dogovori, ki vključujejo plane, razmerja, odgovornosti, sred-stva, procese in aktivnosti; ter

Opomba 3 Okvir za učinkovito upravljanje tveganj, ki sovpada s splošno organizacijskostrategijo in aktivnostmi te organizacije.


2.2.4 Politika ukvarjanja s tveganji

Izjava, ki zajema splošne namene in usmeritve organizacije v povezavi z upravljanjemtveganj.

2.2.5 Odnos do tveganja

Odnos do tveganja pomeni pristop organizacije, s katerim ta tveganja oceni ter jim po-sledično sledi oziroma se jim izogne.

2.2.6 Planiranje upravljanja tveganj

Shema znotraj okvira za učinkovito upravljanje tveganj, ki navaja pristop, komponenteupravljanja in sredstva, ki so dodeljena upravljanju tveganj.

Opomba 1 Komponente upravljanja ponavadi vključujejo postopke, prakse, dodeljeva-nja odgovornosti, zaporedja in tempiranje aktivnosti.

Opomba 2 Plan upravljanja tveganj se lahko nanaša na določen produkt, proces inprojekt ter lahko zajema le del organizacije ali pa celotno.

2.2.7 Lastnik tveganja

Oseba ali subjekt z odgovornostjo in pooblastili za upravljanje tveganja.

2.2.8 Proces upravljanja tveganj

Sistematična uporaba politike upravljanja, postopkov in praks v zvezi z aktivnostmikomuniciranja, svetovanja, identificiranja, analiziranja, ocenjevanja in opazovanja tveganjter ravnanja z njimi.

2.2.9 Vzpostavitev okvirov

Definiranje zunanjih in notranjih parametrov, ki jih je treba vzeti v ozir pri upravljanjutveganj, ter določitve obsega in kriterijev tveganja za politiko upravljanja tveganj.


2.2.10 Zunanji okvir

Zunanje okolje, v katerem si organizacija prizadeva izpolniti zadane cilje. Pod zunanjeokolje lahko spada:

• kulturno, socialno, politično, pravno, regulativno, finančno, tehnološko, naravnoin konkurenčno okolje, ne glede na to ali je mednarodno, državno, regionalno alilokalno;

• ključni dejavniki in trendi, ki imajo vpliv na cilje organizacije; ter

• odnosi, dojemanje in vrednotenje zunanjih zainteresiranih strani (deležniki itd.).

2.2.11 Notranji okvir

Notranje okolje, v katerem si organizacija prizadeva izpolniti zadane cilje. Pod notranjeokolje lahko spada:

• vodstvo, organizacijska struktura, vloge in odgovornosti posameznikov;

• politika, cilji in strategije ki so realno zastavljene;

• zmogljivosti, ki se razumejo pod pojmom sredstev in znanja (npr. kapital, čas,ljudje, procesi, sistemi in tehnologije);

• informacijski sistemi, pretok informacij in procesi odločanja (formalni in nefor-malni);

• odnosi, dojemanje in vrednotenje notranjih zainteresiranih strani;

• organizacijska kultura;

• standardi, navodila in modeli privzeti s strani organizacije; ter

• oblika in obseg pogodbenih razmerij.

2.2.12 Komunikacija in posvetovanje

Stalni in ponavljajoči se procesi, ki jih vodi organizacija, da zagotavlja, deli in pridobivainformacije, ter da se vključi v dialog z deležniki v zvezi z obvladovanjem tveganj.

Opomba 1 Informacije se lahko nanašajo na obstoj tveganj, njihovo naravo, obliko,verjetnost, pomen, vrednost, sprejemljivost ter na siceršnjo obravnavo tveganj.


Opomba 2 Posvetovanje je dvosmerni proces informirane komunikacije med organiza-cijo in zunanjimi vlagatelji v zvezi z odločitvijo ali determiniranjem usmerjenostiglede te odločitve.

Posvetovanje je:

• proces, ki vpliva na odločitev s pomočjo vpliva (raje kot moči) in

• prispevek k odločanju (vendar pa to ni skupno odločanje).

2.2.13 Interesna skupina

Oseba ali organizacija, ki lahko vpliva, sama čuti vpliv, ali pa sama zazna odločitev aliaktivnost.

Deležnik je lahko tisti, ki sprejema odločitve.

2.2.14 Ocenjevanje tveganja (Risk Assesment)

Proces, ki združuje prepoznavanje (Risk Identification), analizo (Risk Analysis) in vre-dnotenje (Risk Evaluation) tveganj.

2.2.15 Prepoznavanje tveganja (Risk Identification)

Proces iskanja, prepoznavanja in opisovanja tveganja.

Opomba 1 Identifikacija tveganja vključuje identifikacijo virov tveganja, dogodkov, nji-hovih namenov in potencialnih posledic.

Opomba 2 Identifikacija tveganja lahko vključuje zgodovinske podatke, teoretične ana-lize, informacijska mnenja in mnenja specialistov ter potrebe vlagateljev.

2.2.16 Vir tveganja

Element, ki lahko sam ali v kombinaciji z drugimi določi od kod izvira tveganje. Virtveganja je lahko oprijemljiv ali neoprijemljiv.


2.2.17 Dogodek

Pojav ali sprememba določenega sklopa okoliščin.

Opomba 1 Dogodek je lahko en ali več pojavov, in lahko ima več namenov.

Opomba 2 Dogodek je lahko sestavljen iz nečesa, kar se dejansko ne dogaja.

Opomba 3 Dogodek je lahko včasih naslovljen kot „incident” ali „nesreča”.

Opomba 4 Dogodek brez posledic se lahko imenuje tudi, „nevaren pojav”, „incident”,„skorajšnji zadetek”, „tesen izid”.

2.2.18 Posledice

Rezultat dogodka, ki vpliva na cilje.

Opomba 1 Dogodek lahko privede do različnih posledic.

Opomba 2 Posledice so lahko določene ali nedoločene in imajo pozitivne ali negativneučinke na cilje.

Opomba 3 Posledice so lahko izražene kvalitativno ali kvantitativno.

Opomba 4 Začetne posledice se lahko stopnjujejo do verižne reakcije.

2.2.19 Verjetnost (Likelihood)

Verjetnost, da se bo nekaj zgodilo.

Opomba 1 V terminologiji upravljanja tveganj je beseda verjetnost (likelihood) upora-bljena kot možnost, da se nekaj zgodi, kar je lahko definirano, izmerjeno, deter-minirano, subjektivno ali objektivno, kvalitativno ali kvantitativno. Opisana je zuporabo splošnih matematičnih terminov.

Opomba 2 »Likelihood« v drugih jezikih nima sopomenke, zato se uporablja tudi »pro-bability«. V angleščini je »probability« dostikrat uporabljan kot ozek matematičnipojem. V tej terminologiji je torej »likelihood« izraz, ki zajema enako obsežnostkot »probability« v drugih jezikih.


2.2.20 Profil tveganja

Opisi celote tveganj.

Opomba Celota tveganj zajema tista tveganja, ki se nanašajo na celotno organizacijo,del organizacije ali je definirana kako drugače.

2.2.21 Analiza tveganja (Risk Analysis)

Proces razumevanja narave tveganja in določitve stopnje tveganja.

Opomba 1 Analiza tveganja predstavlja osnovo za vrednotenje tveganja, na tej podlagipa odločitev glede morebitnega obravnavanja tveganja.

Opomba 2 Analiza tveganja se zaključi z vrednotenjem tveganja.

2.2.22 Vrednotenje tveganja (Risk Evaluation)

Naloge, s katerimi ocenimo pomen tveganja.

Opomba 1 Vrednotenje tveganja temelji na osnovi organizacijskih ciljev in notranjegater zunanjega okvira.

Opomba 2 Vrednotenje tveganja mora izhajati iz standardov, zakonov, politike in dru-gih zahtev.

2.2.23 Nivo tveganja

Obseg tveganja ali kombinacije tveganj, izražene v kombinacijah posledic in njihovihverjetnosti.

2.2.24 Ocena tveganja (Risk Assesment)

Proces primerjanja rezultatov z analizo tveganja in vrednotenjem tveganja, da ugotovimoali je tveganje in njegov obseg sprejemljiv.

Opomba Ocena tveganja pomaga pri odločitvi glede obravnavanja tveganja.


2.2.25 Obravnava tveganja (Risk Treatment)

Proces za modificiranje tveganj.

Opomba 1 Obravnava tveganj lahko pomeni:

• izogniti se tveganju tako, da ne začnemo ali ne nadaljujemo aktivnosti, kitveganje povzroča;

• povečanje tveganja za priložnost;

• odpraviti vir tveganja;

• spremeniti verjetnost dogodka;

• spremeniti posledice dogodka;

• deliti tveganje z drugimi pogodbeniki (vključujoč pogodbe in rizično financi-ranje); in/ali

• s premišljenimi odločitvami ohraniti tveganje.

Opomba 2 Obravnave tveganj, ki se ukvarjajo z negativnimi posledicami, se včasihnanašajo na blaženje tveganja, odpravljanje tveganja in zmanjšanje tveganja.

Opomba 3 Obravnava tveganj lahko ustvari tudi nova tveganja ali modificira obstoječatveganja.

2.2.26 Nadzor (Supervision)

Ukrep, ki spreminja/modificira tveganje.

Opomba 1 Nadzor vključuje vse procese, politiko, naprave, prakse in druge akcije zamodificiranje tveganja.

Opomba 2 Nadzor ne izvaja vedno namenjenega modifikacijskega učinka.

2.2.27 Preostalo tveganje (Residual Risk)

Tveganje, ki ostane po obravnavi tveganja.

Opomba 1 Preostalo tveganje lahko vsebuje nedefinirano tveganje.

Opomba 2 Preostalo tveganje je lahko znano kot zadržano tveganje.

2.3 Principi 29

2.2.28 Spremljanje (Monitoring)

Konstantno preverjanje, nadzor, kritično opazovanje in definiranje statusa, da bi se defi-nirala pričakovana in želena sprememba.

Opomba Spremljanje/monitoring se lahko aplicira v okvir upravljanja tveganja, v procesupravljanja tveganja, v tveganje ali v kontrolo.

2.2.29 Pregled (Review)

Dejavnost za zagotavljanje primernosti, učinkovitosti in ustreznosti predmeta za dosegopostavljenih ciljev.

Opomba Pregled se lahko aplicira v okvir upravljanja tveganja, v proces upravljanjatveganja, v tveganje ali v kontrolo.

2.3 Principi

Organizacija naj bi za učinkovito upravljanje tveganj na vseh nivojih upoštevala naslednjeprincipe:

1. Upravljanje tveganj ustvarja in ščiti vrednost. Dokazljivo prispeva k dose-ganju ciljev in izboljšanju učinkovitosti, kot je to v primeru človeškega zdravja invarnosti, zaščiti vseh vrst, pri usklajevanju s pravnimi predpisi, javnemu odobrava-nju, zaščiti okolja, kvaliteti proizvodov, projektnemu managementu, učinkovitostipri poslovanju, upravljanju in ugledu.

2. Upravljanje tveganj je sestavni del vseh procesov v organizaciji. Upra-vljanje tveganj ne predstavlja samostojne aktivnosti, ki je ločena od glavnih aktiv-nosti in procesov organizacije. Upravljanje tveganj je del odgovornosti celotnegamanagementa in glavni del vseh organizacijskih procesov, vključno s strateškimplaniranjem ter s procesi upravljanja projektov in procesi uvajanja sprememb.

3. Upravljanje tveganj je sestavni del odločanja. Upravljanje tveganj pomagaodločevalcem, da se ozaveščeno odločajo glede ukrepov in razlikujejo med alterna-tivnimi postopki načinov delovanja.

4. Upravljanje tveganj izrecno obravnava negotovost. Upravljanje tveganjizrecno upošteva negotovost, naravo negotovosti in način, s katerim jo je mogočeobravnavati.


5. Upravljanje tveganj je sistematično, strukturirano in pravočasno. Sis-tematičen, pravočasen in strukturiran pristop k upravljanju tveganj prispeva kučinkovitosti in doslednim, primerljivim in zanesljivim rezultatom.

6. Upravljanje tveganj temelji na najboljših informacijah, ki jih je mogočepridobiti. Vložek v proces upravljanja tveganj temelji na informacijskih virihkot so: zgodovinski podatki, izkušnje, odziv deležnikov, opazovanja, napovedi instrokovna presoja. Vendar pa bi se morali odločevalci pozanimati glede dostopnostiin primernosti podatkov ter upoštevati morebitne omejitve glede te dostopnosti,načina modeliranja ali možnosti razhajanja mnenj različnih strokovnjakov.

7. Upravljanje tveganj je prilagojeno. Upravljanje tveganj je potrebno prireditiglede na notranji in zunanji kontekst organizacije ter glede na vrsto tveganj.

8. Upravljanje tveganj upošteva kulturne in človeške faktorje. Z upravlja-njem tveganj prepoznamo sposobnost, dojemanje in namene zunanjih in notranjihljudi, ki lahko pospešijo ali zavirajo doseganje ciljev organizacije.

9. Upravljanje tveganj je pregledno in neizključujoče. Upravljanje tveganjvključuje različne deležnike in upravljavce na vseh nivojih organizacije. Primernain pravočasna vključitev deležnikov in še posebej odločevalcev na vseh nivojihorganizacije zagotavlja, da upravljanje tveganj ostaja vselej pomembno in posodo-bljeno. Vključitev deležnikov dovoljuje, da so primerno zastopani in da so njihovamnenja upoštevana pri določanju kriterijev glede tveganj.

10. Upravljanje tveganj je dinamično, ponavljajoče se in sposobno odziva naspremembe. Upravljanje tveganj nenehno zazanava in se odziva na spremembe.Ko se zgodijo zunanji in notranji dogodki, se spremeni kontekst in znanje, pote-kata spremljanje in pregled tveganja, lahko se pojavi novo tveganje, lahko se nekotveganje spremeni, lahko pa celo izgine.

11. Upravljanje tveganj spodbuja in omogoča neprestano izboljševanje or-ganizacije. Organizacija bi morala razviti in izvajati strategije za izboljševanjezrelosti upravljanja tveganj, vzporedno z vsemi ostalimi vidiki v organizaciji.

2.4 Okvir 31

Slika 2.2: Relacije med komponentami okvira upravljanja tveganj

2.4 Okvir

Uspeh obvladovanja tveganja je odvisen od učinkovitosti okvira upravljanja, ki zagotavljatemelje in ureditve, ki so vgrajeni v celotno organizacijo na vseh ravneh. Poleg tega okvirzagotavlja, da se informacije o tveganjih, ki nastanejo v procesu upravljanja tveganj,ustrezno sporočajo in uporabljajo kot osnova za odločanje in vzpostavitev odgovornostina vseh ravneh organizacije. Slika 2.2 prikazuje okvir, iz katerega je mogoče razbrati, dase njegovi posamezni deli povezujejo na interaktiven način. Elementi slike 2.2 so zajetitudi v sliki 2.1.

Okvir ni namenjen temu, da bi predpisoval samostojen sistem upravljanja, temveč jebolj v pomoč organizaciji pri integraciji sistema upravljanja tveganj v vsesplošen sistemupravljanja neke organizacije.


2.4.1 Pooblastila in obveznosti

Za vzpostavitev upravljanja tveganj in za zagotavljanje stalne učinkovitosti tega upra-vljanja so potrebna trdna in trajna prizadevanja vodstva organizacije kot tudi strateškoin dosledno načrtovanje za doseganje zavezanosti na vseh ravneh organizacije. Vodstvoorganizacije naj bi:

1. definiralo in podpiralo politiko upravljanja tveganj;

2. zagotovilo, da je politika upravljanja tveganj v sozvočju z organizacijsko kulturo;

3. določilo kazalnike uspešnosti upravljanja tveganj, ki so v sozvočju s kazalniki uspe-šnosti organizacije;

4. uskladilo cilje upravljanja tveganj s cilji in strategijami organizacije;

5. zagotovilo skladnost z zakoni;

6. dodelilo pooblastila in odgovornosti na vseh ravneh organizacije;

7. zagotovilo potrebna sredstva za upravljanje tveganj;

8. izmenjevalo informacije o novostih, idejah in prednostih obvladovanja tveganj zvsemi deležniki; in

9. zagotovljalo primernost in učinkovitost okvira za upravljanje tveganj.

2.4.2 Oblikovanje okvira za upravljanje tveganj

Razumevanje organizacije in njenega konteksta

Še pred začetkom načrtovanja in implementacijo okvira za upravljanje tveganj je po-membno oceniti in razumeti notranji in zunanji kontekst, v katerem organizacija živi.Oboje lahko pomembno vpliva na oblikovanje okvira.

Ocenjevanje organizacijskega zunanjega konteksta lahko vključuje, ni pa nujno ome-jeno na:

1. socialno in kulturno, politično, pravno, finančno, tehnološko, ekonomično, naravnoin konkurenčno okolje, bodisi internacionalno, nacionalno, regionalno ali lokalnookolje;

2. ključne dejavnike in trende, ki vplivajo na cilje organizacije; in

2.4 Okvir 33

3. odnose z zunanjimi deležniki, njihovo dojemanje ter vrednote.

Ocenjevanje organizacijskega notranjega konteksta lahko vključuje, ni pa nujno ome-jeno na:

1. upravljanje, organizacijsko strukturo, vloge in odgovornosti;

2. politiko, cilje in strategije, ki so namenjene za doseganje le-teh;

3. zmogljivosti v smislu virov in znanja (kapital, čas, ljudje, procesi, sistemi in teh-nologije);

4. informacijske sisteme, informacijske tokove in odločitvene procese (formalne inneformalne);

5. odnos z notranjimi deležniki, njihovo dojemanje ter vrednote;

6. organizacijsko kulturo;

7. standarde, navodila in modele, ki jih organizacija uporablja; ter

8. oblikovanje in razširitev pogodbenih odnosov.

Vzpostavitev politike upravljanja tveganj

Politika upravljanja tveganj mora jasno opredeliti cilje organizacije in njeno zavezanostk politiki upravljanja tveganj, ki običajno vključuje:

1. organizacijsko utemeljitev glede obvladovanja tveganj;

2. povezave med organizacijskimi cilji in politiko ter politiko upravljanja tveganj;

3. obveznosti in odgovornosti glede upravljanja tveganj;

4. način, ki ga organizacija uporablja pri reševanju navzkrižnih interesov;

5. prizadevanje za omogočanje potrebnih virov oziroma informacij tistim, ki so odgo-vorni za upravljanje tveganj;

6. definiranje načina, s katerim bo tveganje izmerjeno in sporočeno; ter

7. stremljenje k temu, da se bo politika upravljanja tveganj ves čas razvijala ter dabo ta politika vedno odgovorila na nek dogodek oziroma spremembo okoliščin.

Politiko obvladovanj tveganj je treba sporočati ustrezno.


Odgovornost

Organizacija mora zagotoviti odgovornost, potrebno avtoriteto in kompetence za upra-vljanje tveganj ter vzpostavitev in vzdrževanje procesa upravljanja tveganj. Vzpostavitevodgovornosti vključuje tudi ustrezne in učinkovite kontrole. Pri tem je med najpomemb-nejšimi:

1. identificiranje lastnikov tveganja, ki imajo odgovornost in ustrezno avtoriteto, po-trebno pri obvladovanju tveganj;

2. identificiranje odgovornih za razvoj, izvedbo in trajnost okvira za upravljanje tve-ganj;

3. identificiranje vseh ostalih odgovornosti posameznikov v organizaciji, saj lahko topomaga pri obvladovanju tveganj;

4. vzpostavitev meritev učinkovitosti ter zunanjih in/ali notranjih procesov poroča-nja; in

5. zagotavljanje ustrezne ravni priznavanja.

Integracija v vse procese organizacije

Integracija v procese organizacije mora biti izvedena tako, da je upravljanje tveganjustrezno, učinkovito in uspešno. Upravljanje tveganj mora biti del posameznih procesovin ne sme biti od njih oddvojeno. Zlasti je treba upravljanje tveganj integrirati v razvojpolitik, v poslovno in strateško načrtovanje in pregled, ter v postopke uvajanja sprememb.

Potreben je načrt za upravljanje tveganj celotne organizacije, da se zagotovi, da sepolitika upravljanja tveganj izvaja in je vgrajena v vse postopke in procese organizacije.Načrt za upravljanje tveganj se lahko vključi v druge organizacijske načrte podobno kotstrateški načrt.

Sredstva

Organizacija mora zagotoviti potrebna sredstva za upravljanje tveganj. Med temi sredstviso:

1. ljudje, znanje, veščine, izkušnje in kompetence;

2. sredstva, potrebna za vsak korak v procesu upravljanja tveganj;

2.4 Okvir 35

3. postopki, orodja in metode organizacije, ki se uporabljajo za upravljanje tveganj;

4. dokumentirani procesi in postopki;

5. informacijski sistemi in sistemi za upravljanje znanja; ter

6. programi izobraževanj oziroma usposabljanj.

Vzpostavitev sistema notranje komunikacije in mehanizmov poročanja

Organizacija bi morala v podporo in povečanje odgovornosti ter lastništva tveganja vzpo-staviti notranje komuniciranje in poročevalne mehanizme. Ti mehanizmi naj bi zagota-vljali, da:

1. so glavne komponente okvira upravljanja tveganj in vse nadaljnje modifikacije tegaokvira ustrezno posredovane;

2. obstaja ustrezno notranje poročanje glede okvira, predvsem glede njegove učinko-vitosti in rezultatov;

3. so vse relevantne informacije, ki izhajajo iz upravljanja tevganj, na voljo na pri-mernem nivoju in pravočasno; ter da

4. so vzpostavljeni procesi za posvetovanje z notranjimi deležniki.

Ti mehanizmi bi morali, kjer je to primerno, vključevati procese za utrditev infor-macij glede tveganj, ki prihajajo iz različnih virov, ter po potrebi obravnavati njihovoobčutljivost.

Vzpostavitev sistema zunanje komunikacije in mehanizmov poročanja

Organizacija bi morala razviti in implementirati načrt, kako bo komunicirala z zunanjimideležniki. To vključuje:

1. vključevanje primernih zunanjih deležnikov in zagotavljanje učinkovite izmenjaveinformacij;

2. zunanje poročanje v skladu z zakonskimi in regulativnimi zahtevami;

3. zagotavljanje povratnih informacij in poročanje o komunikaciji in posvetovanju;

4. uporabljanje komunikacije za izgradnjo zaupanja v organizaciji; in


5. komuniciranje z deležniki v primeru nepredvidene krize.

Ti mehanizmi bi morali, kjer je to primerno, vključevati procese za utrditev infor-macij glede tveganj, ki prihajajo iz različnih virov, ter po potrebi obravnavati njihovoobčutljivost.

2.4.3 Implementacija upravljanja tveganj

Implementacija okvira upravljanja tveganj Implementacja okvira za upravlja-nje tveganj pomeni, da mora organizacija predvsem:

1. določiti pravilen rok in strategijo za izvedbo;

2. uporabjati politiko in proces upravljanja tveganj vzporedno s procesi organizacije;

3. izpolniti zakonske in regulativne zahteve;

4. zagotoviti, da so odločitve, vključno z razvojem in določanjem ciljev, usklajene zrezultati procesov upravljanja tveganj;

5. imeti informacije in zagotavljati izobraževanja in usposabljanja; ter

6. razpravljati in se posvetovati z deležniki, da ostane okvir upravljanja tveganj pri-meren.

Implementacija procesa upravljanja tveganj

Upravljanje tveganj je potrebno izvesti z zagotovilom, da se proces upravljanja tveganjuresničuje preko načrta za upravljanje tveganj na vseh ustreznih ravneh in funkcijahorganizacije kot del njenih standardnih postopkov in procesov. Proces bo podrobnejeopisan v naslednjem razdelku.

2.4.4 Spremljanje in pregled okvira

Za zagotavljanje učinkovitega upravljanja tveganj, ki vseskozi prispeva k učinkovitostiorganizacije, je potrebno spremljanje in pregled okvira. V ta namen mora organizacija:

1. meriti prisotnost upravljanja tveganj s pomočjo kazalnikov ter redno pregledovatinjihovo ustreznost;

2.5 Proces 37

2. redno meriti napredek v smislu približevanja ali odklona od načrta upravljanjatveganj;

3. redno pregledovati, ali so okvir upravljanja tveganj, politika in načrt še vednoustrezni glede na zunanji in notranji kontekst organizacije;

4. poročati o tveganjih, napredku glede uresničevanja načrta upravljanja tveganj tero tem, kako dosledno se politika upravljanja tveganj zpolnjuje; in

5. pregledati učinkovitost okvira upravljanja tveganj.

2.4.5 Nenehno izboljševanje okvira

Rezultat spremljanja in pregledovanja okvira je stalno izboljševanje okvira, politik innačrta upravljanja tveganj. Odločitve glede tega se izvajajo zato, da se upravljanjetveganj organizacije izboljšuje, prav tako pa tudi njena kultura upravljanja tveganj.

2.5 Proces

Proces sestavljajo aktivnosti, ki jih prikazuje slika 2.3. Za proces veljajo naslednje trisplošne usmeritve, ki jih moramo upoštevati pri vseh aktivnostih procesa. Te usmeritveso:

1. Upravljanje tveganj mora biti sestavni del upravljanja organizacije. To pomeni,da tveganja ne zahtevajo niti ne smejo biti posebni del upravljanja, s katerim seposlovodstvo ukvarja ob posebnih priložnostih (na primer enkrat letno).

2. Upravljanje tveganj mora biti del vsesplošne kulture v organizaciji in v praksah,ki se dnevno izvajajo. Seveda pa je prejšnja alineja predpogoj za doseganje teusmeritve.

3. Ker je vsaka organizacija posebna in unikatna, in ker se s časom vsaka organizacijatudi spreminja, je potrebno upravljanje tveganj prilagoditi posebnostim organiza-cije in ga s časom tudi dodatno dopolnjevati ali kako drugače spreminjati.


Slika 2.3: Aktivnosti procesa upravljanja tveganj in njihove medsebojne relacije

2.5.1 Komunikacija in posvetovanje

Ker sta komunikacija in posvetovanje z notranjimi in zunanjimi deležniki organizacijenujno potrebnI aktivnosti skozi celoten proces upravljanja tveganj, je potrebno razvitinačrte za te aktivnosti in vzpostaviti mehanizme za delo v skladu s temi načrti že povsemna začetku. Posvetovalni timski pristop lahko pomaga:

1. vzpostaviti ustrezen okvir;

2. zagotoviti, da so interesi razumljeni in upoštevani;

3. pripeljati strokovnjake za analizo tveganj;

4. zagotoviti različne poglede, katere je potrebno ustrezno razumeti;

5. zagotoviti potrditev in podporo; ter

6. izboljšati ustrezno uvajanje sprememb v proces upravljanja tveganj.

Komunikacija je pomembna, saj se tako presojajo možnosti tveganj glede na njihovopercepcijo. Te zaznave pa so lahko različne in odvisne od vrednot, potreb, predpostavk,

2.5 Proces 39

konceptov itd. deležnikov. Ker imajo njihova stališča pomemben vpliv na odločitve,morajo biti vse te zaznave deležnikov prepoznane, evidentirane ter upoštevane pri procesuodločanja.

2.5.2 Vzpostavitev okvira

Z vzpostavitvijo okvira organizacija artikulira svoje cilje, definira notranje in zunanjeparametre, ki jih je potrebno upoštevati med upravljanjem tveganj, ter definira obsegin kriterije za preostali del procesa upravljanja tveganj. Pri tem ločimo med vzpostavi-tvijo notranjega in zunanjega okvira ter vzpostavitvijo okvira za sam proces upravljanjatveganj.

Zunanji kontekst predstavlja zunanje okolje, v katerem organizacija skuša dosegatisvoje cilje. Ta kontekst je pomemben zato, da lahko upoštevamo cilje zunanjih deležnikovpri razvoju kriterijev za tveganja. Temelji na kontekstu celotne organizacije, vendar sposebnimi podrobnostmi glede zakonskih in regulativnih zahtev, dojemanjem deležnikovin drugih vidikov tveganj, ki so značilna za področje procesa upravljanja tveganj. Vsebujepa lahko:

1. socialno, kulturno, politično, finančno, tehnološko, ekonomsko in naravno okolje,bodisi internacionalno, nacionalno, regionalno ali lokalno okolje;

2. ključne dejavnike in trende, ki vplivajo na cilje organizacije; ter

3. odnose z zunanjimi deležniki, njihovo dojemanje ter vrednote.

Po drugi strani notranji kontekst predstavlja notranje okolje, v katerem organizacijaskuša dosegati svoje cilje. Proces upravljanja tveganj mora biti skladen s kulturo orga-nizacije, ostalimi procesi, strukturo in strategijo. Notranji kontekst je vse tisto znotrajorganizacije, kar vpliva na način upravljanja tveganj. Vzpostaviti ga je potrebno ker:

1. upravljanje tveganja poteka v okviru ciljev organizacije;

2. je potrebno cilje in merila določenega projekta, procesa ali dejavnosti obravnavativ luči ciljev organizacije kot celote; in ker

3. nekatere organizacije ne morejo prepoznati priložnosti, da dosežejo svoje strateške,projektne ali poslovne cilje, kar vpliva na organizacijsko pripadnost, verodostoj-nost, zaupanje in vrednost.

Notranji kontekst je potrebno razumeti, to razumevanje pa lahko vključuje:


1. upravljanje, organizacijske strukture, vloge in odgovornosti;

2. usmeritve, cilje in strategije, ki so na voljo za njihovo doseganje;

3. zmogljivosti v smislu virov in znanja (npr. kapitala, časa, ljudi, procesov, sistemovin tehnologij);

4. odnos z notranjimi deležniki, njihovo dojemanje ter vrednote;

5. organizacijsko kulturo;

6. informacijske sisteme, informacijske tokove in odločitvene procese (formalne inneformalne);

7. standarde, navodila in modele, ki jih organizacija uporablja; ter

8. oblikovanje in razširitev pogodbenih odnosov.

Vzpostaviti oziroma določiti je potrebno cilje, strategije, področja uporabe in pa-rametre dejavnosti organizacije, ali tiste dele organizacije, kjer se uporablja postopekupravljanja tveganja. Upravljanje tveganj je treba opraviti na način, da bi upravičilisredstva, ki so namenjena upravljanju tveganj. Prav tako je potrebno opredeliti sred-stva, odgovornosti in pooblastila ter evidence, ki se vodijo.

Kontekst procesa upravljanja tveganj se lahko tudi spremeni glede na potrebe orga-nizacije. Ta sprememba lahko vključuje:

1. opredelitev ciljev in dejavnosti upravljanja tveganj;

2. opredelitev odgovornosti v procesu upravljanja tveganj;

3. opredelitvi področja, kot tudi obseg aktivnosti za upravljanje tveganj, ki se izva-jajo;

4. opredelitev dejavnosti, procesa, funkcije, projekta, izdelka, storitve ali sredstev vsmislu časa in lokacije;

5. opredelitev odnosov med konkretnimi projekti, procesi ali dejavnostmi in drugimiprojekti, procesi ali dejavnostmi organizacije;

6. opredelitev metodologij za oceno tveganja;

7. opredelitev načinov ocenjevanja uspešnosti in učinkovitosti znotraj upravljanja tve-ganja;

2.5 Proces 41

8. prepoznavanje in določanje odločitev, ki jih je potrebno sprejeti; ter

9. ugotavljanje potreb po študijah, določanje njihovega obsega in ciljev ter sredstev,potrebnih za takšne študije.

Organizacija mora definirati tudi kriterije, ki jih uporabljamo pri ovrednotenju po-membnosti posameznih tveganj. Ti kriteriji odsevajo vrednostne sisteme, cilje in vireneke organizacije. Nekateri od teh kriterijev so lahko pridobljeni na osnovi zakonskih,drugih regulativih in pogodbenih zahtev. Kriteriji tveganja bi morali biti v skladu spolitiko upravljanja tveganj v organizaciji, opredeljeni na začetku vsakega procesa upra-vljanja tveganj ter jih je potrebno nenehno pregledovati. Pri določanju kriterijev tveganj,je treba upoštevati dejavnike, ki vključujejo:

1. naravo in vrsto vzrokov ter posledic, ki se lahko pojavijo, in način, kako se merijo;

2. inforamcijo, kako bo definirana verjetnost;

3. časovni(e) rok/e verjetnosti in/ali posledica(e);

4. informacijo, kako naj bo določena stopnja tveganja,

5. stališča deležnikov;

6. raven, do katere je tveganje sprejemljivo oziroma dopustno; ter

7. informacijo, ali je potrebno upoštevati kombinacije različnih tveganj, in če je tako,kako in katere kombinacije je potrebno upoštevati.

2.5.3 Ocenjevanje tveganj

Aktivnost ocenjevanja tveganj predstavlja srčiko upravljanja tveganj in predstavlja sku-pno ime za aktivnosti prepoznavanja, analizo in vrednotenje tveganj.

Pri ocenjevanju tveganj skušamo med drugim odgovoriti na naslednja temeljna vpra-šanja, ki se zastavljajo v zvezi tveganj:

1. Kaj se lahko zgodi in zakaj?

2. Kakšne so posledice?

3. Kakšna je verjetnost, da se tveganje pojavi v prihodnosti?

4. Ali obstajajo kakšni dejavniki, ki omogočajo, da se nekemu tveganju izognemo alida zmanjšamo verjetnost, da se sploh pojavi?


2.5.4 Prepoznavanje/identificiranje tveganj

Organizacija mora opredeliti vire tveganj, področja vplivov, dogodke, ki so posledicanekega pojava ali spremembe določenega položaja, z vzroki in s potencialnimi posledi-cami, ki se lahko s časom tudi spreminjajo. Osnovni namen te aktivnosti (ali korakav procesu) je ustvariti celovit seznam tveganj, ki bazira na tistih dogodkih, ki lahkoustvarijo, povečajo, onemogočijo, zmanjšajo, pospešijo ali upočasnijo doseganje ciljev.Celovito prepoznavanje je kritično, saj tveganje, ki ni identificirano v tem koraku, ne bodel nadaljnje analize. Zajeta morajo biti tudi tista tveganja, katerih vzrok ni nujno podkontrolo organizacije, ali pa sploh ni znan. Upoštevati je potrebno tudi posebne učinkeposledic (kumulativni učinki in kaskade) ter najrazličnejše možne vzroke in posledice, spomočjo katerih se nato oblikujejo možni scenariji. Pri prepoznavanju tveganj si moraorganizacija pomagati z različnimi orodji in tehnikami, vključene pa morajo biti tudiustrezne podporne informacije ter ljudje z ustreznim znanjem.

2.5.5 Analiza tveganj

Pri analizi tveganj razvijemo razumevanje tveganja. Ta aktivnost je pogoj za vrednotenjetveganj in za odločitev o tem, ali naj se s tveganjem sploh ukvarjamo, in če se naj, katerenajustreznejše strategije in metode bi bile primerne. Prav tako je ta aktivnost pogoj zaodločanje o tem, kje v organizaciji se je potrebno posvetiti tveganjem in katere opcije(viri, področja vplivov, dogodki, posledice, itd.) vsebujejo različne vrste tveganj ter nakakšnem nivoju (poslovnem, tehničnem, itd.) je neko tveganje.

Pri analizi ugotavljamo vzroke in izvore tveganj, pozitivne in negativne posledice termožnosti, da se zgodijo posledice (ponavadi predstavljene z verjetnostjo za dogodek).Iščemo faktorje, ki vplivajo na posledice, in možnosti za posledice. Upoštevamo, dalahko ima nek dogodek množico posledic, ki lahko vplivajo na množico ciljev organizacije.Upoštevamo pa tudi obstoječe kontrole in njihovo učinkovitost oziroma uspešnost.

S pomočjo načina, s katerim so posledice in verjetnosti izražene, in s pomočjo načina,ki določa stopnjo tveganja, se določi vrsta tveganja, informacije, ki so na voljo, ternamen, za katerega je rezultat ocenjevanja tveganja uporabljen. Vse pa mora biti vskladu s kriteriji tveganj.

Pri analizi tveganj je mogoče uporabiti različne stopnje podrobnosti, odvisno odtveganja, namena analize, ter informacij, podatkov in virov, ki so na voljo. Analiza jelahko kvalitativna, delno kvantitativna ali delno kvantitativna, ali pa kombinacija obehnačinov – odvisno od okoliščin.

2.5 Proces 43

Posledice in njihova verjetnost se lahko določijo z modeliranjem rezultatov dogodkaali niza dogodkov, z ekstrapolacijo iz eksperimentalnih študij, ali z analizo razpoložljivihpodatkov. Posledice se lahko izrazi v smislu materialnih in nematerialnih učinkov. Lahkoso izražene z večimi numeričnimi vrednostmi ali opisi, za različne čase, prostore, skupinein situacije.

2.5.6 Vrednotenje tveganj

Namen vrednotenja je pomoč pri sprejemanju odločitev. Temelji na analizi tveganj gledeprioritet ravnanja s tveganji. Pri tem posamezno tveganje primerjamo s kriteriji spre-jemljivosti, ki smo jih določili v aktivnosti vzpostavitve okvira, na podlagi rezultatovprimerjave pa se nato določi način obravnave tveganja, ki mora biti v skladu z zakon-skimi, regulativnimi in drugimi zahtevami.

V nekaterih primerih lahko ocena tveganja vodi v odločitev, da je potrebna dodatnaanaliza, ali pa v odločitev, da se tveganje obravnava samo zato, da se obdržijo obstoječekontrole. Seveda pa je to odvisno od odnosa organizacije do tveganja ter kriterijevtveganj.

2.5.7 Obravnava tveganj

V okviru obravnave tveganj (v dobesednem prevodu bi lahko rekli tudi v „okviru zdra-vljenja tveganj”) izbiramo eno ali več možnosti za spreminjanje tveganj in te možnostitudi implementiramo. Po implementaciji obravnave tveganj zagotovimo ali spremenimokontrole.

Sama aktivnost vsebuje manjši cikličen proces, ki zajema:

1. ocenjevanje tveganja;

2. odločanje o sprejemljivosti preostalega (residual risk) tveganja;

3. ponovno obravnavavo tveganja, če preostanek ni sprejemljiv; in

4. ocenjevanje uspešnosti te obravnave.

Možnosti obravnave tveganj niso nujno medsebojno izključujoče ali ustrezne v vsehokoliščinah. Možnosti so lahko:

1. izogibati se tveganjem tako, da se organizacija odloči, da ne začne ali ne nadaljujeaktivnosti, ki bi povečala to tveganje;


2. tveganje sprejeti ali celo povečati, da bi izkoristili priložnost;

3. odstraniti vzrok tveganja;

4. spremeniti verjetnost;

5. spremeniti posledice;

6. deliti tveganje s partnerjem/i (pogodbe, finančna tveganja); ter

7. ohranjati tveganje na premišljen način s premišljenimi odločitvami.

Pri izbiri najustreznejših možnosti za obravnavo tveganj tehtamo med vloženimi stro-ški in napori glede na koristi, upoštevaje zakonske in druge predpise, kot so družbenaodgovornost in varstvo okolja. Odločitev je odvisna tudi od tega, ali je obravnava fi-nančno upravičena, kot je to v primeru visoke stopnje negativne/ih posledic(e) z nizkoverjetnostjo pojava dogodka.

Med obravnavo se osredotočimo tako na posamezno možnost, kakor tudi na kombi-nacijo različnih možnosti, pri čemer lahko ima organizacija veliko koristi.

Pri izbiri možnosti obravnave tveganja, mora organizacija upoštevati vrednote in do-jemanje deležnikov in najprimernejše načine za komunikacijo z njimi. Tu gre predvsemza diskusijo glede tega, kako lahko možnosti obravnave tveganja vplivajo na druga tve-ganja v organizaciji ali z deležniki. Nekatere obravnave tveganj so namreč lahko boljsprejemljive za nekatere deležnike kot za druge.

V načrtu obravnave je potrebno jasno opredeliti prednostni vrstni red, v katerem najbi se izvajale posamezne obravnave tveganj.

Obravnava tveganj sama po sebi vsebuje tveganja. Eno najpomembnejših tveganj jetveganje, da sprejmemo neučinkovite ukrepe, ali da ti odpovedo. Zato je potrebno obrav-navo tveganj stalno spremljati in pregledovati, da na ta način zagotavimo učinkovitostukrepov.

Obravnava tveganj lahko privede do sekundarnih tveganj, ki jih je treba oceniti,obravnavati, spremljati in pregledovati. Ta sekundarna tveganja je treba vključiti v istinačrt obravnave kot primarno tveganje in se ne obravnavajo kot nova tveganja, pri tempa mora biti povezava med primarnim in sekundarnim tveganjem jasna in trajna.

Namen načrtovanja obravnave tveganj je dokumentirati, kako bo posamezna izbranamožnost obravnave izvedena. Informacije, navedene v načrtu obravnave, morajo vsebo-vati:

2.5 Proces 45

1. razlog izbora možnosti, vključno s pričakovanimi koristmi, ki jih prinaša ta mo-žnost;

2. imena odgovornih za odobritev načrta, in imena odgovornih za njegovo izvedbo;

3. predlagane ukrepe;

4. zahteve za potrebne vire, vključno z nepredvidenimi;

5. merila za učinkovitost ukrepov ter omejitve;

6. zahteve glede poročanja in spremljanja; ter

7. roke in urnik.

Načrte obravnave tveganj bi bilo potrebno vključiti v procese upravljanja organizacijein glede njih tudi razpravljati z ustreznimi deležniki.

Odločevalci in drugi deležniki pa morajo biti seznanjeni tudi z naravo in obsegompreostalega tveganja, ki ostane kljub obravnavi tveganja. Preostalo tveganje je trebadokumentirati in nadzorovati, pregledati in po potrebi ponovno obravnavati.

2.5.8 Spremljanje in pregledovanje

Oba, nadzor in pregled, morata biti del načrta upravljanja tveganj, ki mora vsebovatiredne in naključne preglede ali spremljanje. Pri tem so zelo pomembne jasno določeneodgovornosti.

Procesi spremljanja in pregledovanja bi morali vključevati vse vidike upravljanja tve-ganj zato, da:

1. se zagotovi, da so kontrole učinkovite in uspešne tako pri zasnovi kot v izvedbi;

2. pridobivanju dodatnih informacij za izboljšanje ocene tveganja;

3. organizacija analizira in pridobiva izkušnje na podlagi dogodkov (vključno s tistimi,ki so se skoraj zgodili), sprememb, trendov, uspehov in napak;

4. se zaznajo spremembe v notranjem in zunanjem kontekstu, vključno s spremem-bami kriterija tveganj in tveganja samega, kar lahko zahteva revizijo obravnavetveganj in zastavljenih prioritet; ter da

5. se ugotavijo nastajajoča tveganja.


Napredek pri izvajanju načrtov za obravnavo tveganj omogoča merjenje uspešnosti.Rezultate spremljanja in pregledovanja je potrebno zabeležiti/evidentirati, nato pa onjih poročati ustreznim notranjim in zunanjim javnostim, prav tako pa jih je potrebnouporabiti pri pregledu okvira upravljanja tveganj.

2.5.9 Evidentiranje v procesu upravljanja tveganj

Aktivnosti upravljanja tveganj morajo biti sledljive. V procesu upravljanja tveganj evi-dence zagotavljajo temelje za izboljšanje metod in orodij, kot tudi v celotnem procesu.

Odločitve glede oblikovanja evidenc so povezane s/z:

1. potrebami organizacije po nenehnem učenju;

2. ugodnostmi, ki jih ponuja ponovna uporaba informacij za namene upravljanja;

3. stroški in prizadevanji, nastalimi pri ustvarjanju in vzdrževanju evidenc;

4. zakonskimi, regulativnimi in operativnimi potrebami po evidencah;

5. načini dostopa, dostopnostjo in enostavnostjo medija za hrambo;

6. obdobjem hrambe; ter

7. občutljivostjo informacij.

Poglavje 3

Nekateri drugi standardi povezani zupravljanjem tveganj

3.1 ISO 31010:2009

ISO/IEC 31010:2009 [8] podpira standard ISO 31000 in daje napotke o izbiri in uporabisistematičnih metod za oceno tveganja, postopek ocenjevanja tveganja in izbiro metodeza oceno tveganja.

Nastal je kot plod sodelovanja med organizacijama ISO in IEC in podpira standardISO 31000 v tistem delu, ko se le ta ukvarja z ocenjevanjem tveganj. Ocena tveganjaje sestavni del upravljanja tveganj, ki zagotavlja organizacijam strukturiran proces zaidentifikacijo vplivov pri doseganju ciljev organizacije.

Ocenjevanje tveganja zagotavlja boljše razumevanje tveganj in omogoča boljše vede-nje o ustreznosti in učinkovitosti obstoječega nadzora nad tveganji. Standard je podlagaza odločanje o najustreznejšem pristopu za obvladovanje posameznega tveganja. Je vpomoč pri implementaciji principov obvladovanja tveganj, ki jih podaja ISO 31000. Po-drobno podaja:

1. koncepte ocenjevanja tveganj,

2. proces ocenjevanja tveganja in

3. izbiro tehnike za ocenjevanje tveganj.

S tem standard povzema obstoječe dobre prakse in odgovarja na naslednja vprašanja:

48 Nekateri drugi standardi povezani z upravljanjem tveganj

1. Kaj se lahko zgodi in zakaj?

2. Kakšne so posledice?

3. Kakšna je verjetnost njihovega nastanka v bodoče?

4. Ali obstajajo kakršni koli dejavniki, ki lahko ublažijo posledice tveganja ali zmanj-šajo verjetnost za tveganje?

Standard sestavlja šest poglavij in dva izčrpna dodatka – vsega skupaj 90 strani.Po uvodnih kratkih poglavjih, ki opisujejo dokument, obrazložijo povezave z drugimi

dokumenti in definirajo v standardu uporabljene termine, sledijo tri osrednja poglavja,ki podrobno definirajo aktivnost ocenjevanja tveganja. Ta tri poglavja obravnavajo kon-cepte ocenjevanja, samo ocenjevanje in izbiro tehnike za ocenjevanje tveganj. Sledi prvidodatek, ki vsebuje primerjave enaintridesetih različnih tehnik, ki jih lahko uporabimopri ocenjevanju tveganj, in drugi dodatek, ki te tehnike tudi na kratko predstavi in podajareference za nadaljnji študij le teh.

Četrto poglavje ISO 31010 podrobneje predstavlja koncepte, ki naj bi jih upoštevalipri obravnavi tveganj (kar ne smemo zamenjevati s principi, ki jih opisuje ISO 31000).Ti koncepti predstavljajo zelo poučen seznam dejstev, ki jih je pri ocenjevanju smiselnoupoštevati. Zapisani so v podpoglavjih, ki govorijo o:

1. namenu in prednostih ocenjevanja,

2. vlogi in pomenu ocenjevanja glede na okvir za upravljanje tveganj, ter

3. vlogi in pomenu ocenjevanja v procesu upravljanja tveganj, kjer je ta pomen po-sebej izpostavljen v luči izmenjave mnenj in komuniciranja, vzpostavitve okvirjaza upravljanje tveganj, samega procesa ocenjevanja tveganj, obravnave tveganj inseveda nadzora ter ocenjevanja.

Pri tem ISO 31010 ne ponavlja, temveč smiselno nadgrajuje zapisano v ISO 31000.Peto poglavje podrobneje opisuje proces ocenjevanja. Pri tem ne samo, da podrobneje

nadgrajuje vse zapisano o procesu v ISO 31000, temveč za vse aktivnosti tudi podajapredloge za uporabo posameznih tehnik iz nabora enaintridesetih, ki jih podajata obadodatka.

Šesto poglavje opisuje, kako je mogoče izbrati ustrezno tehniko pri ocenjevanju tve-ganj. Pri tem opozarja, da je večkrat potrebno izbrati več teh tehnik ali metod, saj jeposamezna namenjena ali pa je v danem primeru ustrezna samo eni ali več aktivnostim

3.1 ISO 31010:2009 49

procesa ocenjevanja, vendar ne vsem. Pri tem poglobljeno v posameznih podpoglavjihopisuje področja znanj, ki jih je potrebno pri uporabi tehnik upoštevati. Ta področjaso: izbira tehnike, razpoložljivost virov, ki vplivajo na izbiro tehnike in kompleksnosttehnike. Obstajajo še tri podpoglavja, ki govorijo o naravi in lastnostih negotovosti, kije sestavni del tveganj, o uporabi ocenjevanja tveganj v življenjskih procesih (predvsemprojektov) ter o mogočih klasifikacijah tehnik za ocenjevanje tveganj. Kratki povzetkinekaterih podpoglavij sledijo v nadaljevanju.

V dodatku A so navedeni nekateri atributi posameznih metod, kot so zahtevana sred-stva, stopnja negotovosti, kompleksnost in zmožnost podajanja kvantitativnega rezultatapri oceni tveganja.

3.1.1 Izbira tehnike

Ocenjevanje tveganj se lahko izvaja z različnimi zahtevnostmi glede podrobnosti oce-njevanja in tako uporablja eno ali več metod, ki se razlikujejo po svoji kompleksnosti.Rezultat ocenjevanja ima lahko različne oblike, ki morajo biti v skladu s kriteriji, ki smojih postavili v aktivnosti „Vzpostavitev okvirja”. Pri tem si pomagamo z vrednotenjemposameznih metod po kriterijih, ki jih prikazuje slika 3.1. Slika prikazuje izsek tabeleiz dodatka A standarda ISO 31010, kjer so posamezne metode ovrednotene glede nauporabnost v posameznih aktivnostih procesa ocenjevanja tveganj.

3.1.2 Razpoložljivost virov

Viri in zmožnosti, ki lahko vplivajo na izbiro tehnike ocenjevanja, vsebujejo:

1. spretnosti, izkušnje in zmožnosti skupine, ki ocenjuje tveganje;

2. časovne in ostale omejitve, ki so pogojene s samo organizacijo, ki ocenjuje tveganja;ter

3. finančne okvire, ki so na voljo v primeru, da so potrebni zunanji viri.

3.1.3 Narava in stopnja negotovosti

Oboje, narava in stopnja negotovosti zahtevata razumevanje kvalitete, količine in celo-vitosti informacij o posameznih tveganjih. To vsebuje tudi zavedanje o pomanjkanjuinformacij o tveganjih samih, njihovih virih in vzrokih ter posledicah, ki jih imajo za


Legenda slike:SA – Zelo uporabnoA – UporabnoNA – Neuporabno

Slika 3.1: Uporabnost posameznih metod pri ocenjevanju tveganj (izsek iz ISO31010)

3.2 ISO/IEC 27005:2011 51

doseganje ciljev organizacije. Negotovost lahko izhaja iz slabih podatkov ali iz pomanj-kanja pomembnih in zaupanja vrednih podatkov. Negotovost je lahko prisotna tudi veksternem ali internem kontekstu organizacije. Nekateri podatki na osnovi zgodovineniso dosegljivi ali jih ni mogoče pravilno interpretirati. Vse to zahteva razumevanje tipain narave negotovosti, kar je potrebno posredovati vsem odločevalcem v organizaciji.

3.1.4 Kompleksnost

Kompleksnost je naslednji izziv pri obravnavi tveganj. Nekatera tveganja so kompleksnasama po sebi, nekatera pa enostavna, vendar je medsebojna interakcija med posameznimi(lahko tudi zelo enostavnimi) tveganji zelo kompleksen pojav, ki ga nikakor ne smemozanemariti, čeprav bi lahko rekli, da je vsako posamezno tveganje zanemarljivo.

3.2 ISO/IEC 27005:2011

Za izvedbo učinkovitega sistema upravljanja varnosti morajo organizacije poskrbeti zasistematično upravljanje tveganj, ki mora biti skladno s potrebami, usmeritvami in oko-ljem, v katerem organizacija deluje. Navsezadnje mora biti upravljanje posameznih (ope-rativnih, IT, tečajnih, itd) tveganj v skladu z upravljanjem vseh tveganj, s katerimi seorganizacija srečuje. Varnostne usmeritve se nanašajo na pravočasno in učinkovito upra-vljanje tveganj na področjih, kjer in kadar je to potrebno. Gre za proces, ki ga je potrebnovzpostaviti in ga po vzpostavitvi stalno izvajati in dopolnjevati.

Standard ISO/IEC 27005:2011 (ISO/IEC 27005:2011; Information technology – Se-curity techniques – Information security risk management, International organization forStandardization) [10] je standard, ki opisuje proces upravljanja tveganj in njegove aktiv-nosti, s katerimi zagotavljamo informacijsko varnost v okviru splošnih konceptov. Za raz-liko od prejšnje različice, ki je nosila oznako ISO/IEC 27005:2008, opisani v članku [21],je standard v tej različici sinhroniziran z zgoraj opisanim standardom ISO 31000. Takoje najnovejši ISO/IEC 27005 primer uporabe ali impelmentacije ISO 31000.

Opisuje proces upravljanja tveganj in njegove aktivnosti, s katerimi zagotavljamoinformacijsko varnost v okviru splošnih konceptov, ki jih podaja ISO/IEC 27001:2013[11]. ISO/IEC 27001:2013 sicer določa zahteve za vzpostavitev, izvajanje, vzdrževanjein nenehno izboljševanje sistema vodenja varovanja informacij v okviru organizacije. Tovključuje tudi zahteve za ocenjevanje in obravnavo informacijskih tveganj prilagojenopotrebam organizacije. Vendar ISO 27001 ni predmet te knjige, ker je področje tveganj,


ki ga opisuje, že pokrito s standadi ISO 31000, ISO 31010 in ISO 27005.Proces upravljanja tveganj, ki jih predvideva ISO 27005, je mogoče uporabiti pri:

1. celotni organizaciji ali samo v enem od njenih delov (kot je oddelek, fizična lokacijaali celo storitev);

2. katerem koli informacijskem sistemu; in

3. pri obstoječih, planiranih ali pri posameznih vrstah kontrol v organizaciji (na pri-mer pri načrtovanju neprekinjenega poslovanja).

Upravljanje informacijskih tveganj zajema opravila, ki med drugim zajemajo:

1. prepoznavanje tveganj;

2. ocenjevanje tveganj prek vplivov na poslovanje podjetja in morebitne verjetnosti,da se pojavijo;

3. komuniciranje in razumevanje verjetnosti za tveganja in posledice tveganj;

4. vzpostavitev prioritetnega vrstnega reda ukvarjanja s tveganji;

5. vzpostavitev vrstnega reda akcij za zmanjševanje tveganj;

6. vključevanje vseh deležnikov organizacije v odločanje o upravljanju tveganj in ostalnem informiranju o stanju glede tveganj;

7. učinkovit nadzor in spremljanje tveganj in samega upravljanja tveganj;

8. zajemanje informacij, s katerimi lahko upravljanje tveganj izboljšujemo;

9. izobraževanje zaposlenih - še posebej vodij - glede tveganj in načinov za izogibanjetveganjem.

Seveda ISO/IEC predstavlja samo enega od pristopov k reševanju problematike oce-njevanja tveganj. Podaja splošna priporočila za analizo in ocenjevanje informacijskihtveganj tako, da ne predpisuje posamezne metode ali orodja, ki bi bilo primerno zauporabo v neki organizaciji.

ISO/IEC 27005 podaja splošen pregled aktivnosti za obvladovanje informacijskihtveganj pri varovanju informacij. Pri vsaki aktivnosti so opisane dejavnosti, ki so poraz-deljene v naslednja področja:

1. Prispevek (Input): Določa vse potrebne informacije za izvedbo aktivnosti.

3.2 ISO/IEC 27005:2011 53

2. Ukrep (Action): Dejavnost opiše.

3. Navodila za vpeljavo (Implementation guidance): Navede smernice za izvedboukrepa. Pri tem standard opozarja, da nekatere od teh smernic niso primerne vvseh primerih in da imamo opraviti z izbiro smernic ali načinov za izvedbo ukrepa.

4. Rezultat (Output): Določa vse informacije, ki nastajajo po izvedbi aktivnosti.

Nekateri dodatni izkustveni napotki za obvladovanje tveganja pri varovanju informa-cij so predstavljeni v prilogah:

1. Priloga A. Podaja izkustvene napotke o določanju konteksta upravljanja informa-cijskih tveganj.

2. Priloga B. Na osnovi dobre prakse priporoča prepoznavanje in ocenjevanje sredstev.

3. Priloga C. Predstavlja primere tipičnih groženj.

4. Priloga D. Našteti so primeri tipičnih ranljivosti.

5. Priloga E. Gre za prilogo, ki opisuje primere pristopov ocenjevanja informacij-skih tveganj. V tej prilogi je podana jasna razmejitev med ocenjevanjem tveganjna splošnem, to je višjem nivoju in med ocenjevanjem na podrobnejšem nivoju.Ocenjevanje tveganj je osrednji izziv vsakega upravljanja tveganj.

6. Priloga F. V tej prilogi je seznam splošnih omejitev za zmanjšanje tveganja, kotso časovne, tehnične, etične, okoljevarstvene in druge omejitve.

3.2.1 Proces upravljanja informacijskih tveganj

Proces je enak kot pri ISO 31000, ki je opisan zgoraj. Kljub temu, pa so tudi v najnovejširazličici standarda ohranili bolj podrobno delitev procesa, kot ga prikazuje slika 3.2.

Pri sprejemanju tveganj moramo zagotoviti, da vodilni v organizaciji izrecno sprej-mejo preostala tveganja. To pomeni, da sprejmejo vsa tveganja, ki niso bila predmetobravnave tveganj ali pa smo se pri obravnavi tveganj odločili, da jih v danem trenutkusprejmemo takšne, kot so.

Ker ISO 27001 predvideva cikel PDCA (Plan - Do - Check - Act) v okviru ISMS(Information Security Management System), je temu ciklu podvržen tudi ISO 27005.Spodnja tabela 3.1 povzema aktivnosti obvladovanja tveganja pri varovanju informacij.


Slika 3.2: Aktivnosti pri upravljanju informacijskih tveganj

3.2 ISO/IEC 27005:2011 55

Proces ISMS Aktivnost pri procesu obvladovanja tveganja pri varovanjuinformacij

Načrtuj (Plan) Določitev kontekstaOcena tveganjaRazvoj načrta za obravnavo tveganjaSprejetje tveganja

Stori (Do) Vpeljava načrta za obravnavo tveganjaPreveri (Check) Stalno spremljanje in pregledovanje tveganjUkrepaj (Act) Vzdrževanje in izboljševanje procesa obvladovanja

tveganja pri varovanju informacij

Tabela 3.1: Prekrivanje ISMS po ISO 27001 (Information Security ManagementSystem) procesov z aktivnostmi procesa obvladovanja informacijskih tveganj

V nadaljevanju branja bo mogoče razbrati, da ISO/IEC 27005 sledi ISO 31000, vendarni povsem identičen – gre za primer njegove uporabe. Prav tako v nadaljevanju ni v celotiopisan ISO/IEC 27005, temveč predvsem tisti, del, ki sledi ISO 31000.

3.2.2 Določitev konteksta

Pri določanju konteksta zberemo informacije o organizaciji, ki so relevantne za obvlado-vanje tveganj v okviru informacijske varnosti. Sem spada:

1. Določanje osnovnih meril, potrebnih za varnost pri upravljanju informacijskihtveganj. Izbrati je potrebno ustrezen pristop k obvladovanju tveganja ali ga razviti.Razviti in določiti je potrebno merila za vrednotenje:

(a) tveganja, ki ogroža varnost informacij organizacije;

(b) učinka v smislu stopnje škode ali stroškov za organizacijo, ki jih povzročiinformacijski varnostni dogodek; ter

(c) sprejetja tveganja, ki so pogosto odvisna od politike in ciljev organizacije terinteresov interesnih skupin.

Merila za sprejetje tveganja se lahko razlikujejo glede na to, kako dolgo pričakujemoobstoj tveganja. Poleg tega mora organizacija oceniti, ali so na voljo ustreznasredstva.


2. Opredelitev področja uporabe in mej vseh ustreznih sredstev, poslovnih ci-ljev, poslovnih procesov, strategij, pravnih in regulativnih zahtev, ki veljajo zaorganizacijo, ter vmesnikov. Področje uporabe procesa obvladovanja tveganja privarovanju informacij mora biti opredeljeno za zagotovitev, da se pri oceni tveganjaupoštevajo vsa sredstva. Poleg tega je treba določiti meje, da se lahko obravna-vajo tveganja, ki lahko prestopijo meje. Informacije o organizaciji je treba zbratiza določitev okolja, v katerem deluje, in njegove pomembnosti pri procesih ob-vladovanja tveganja. Poleg tega mora organizacija utemeljiti vsako izključitev spodročja uporabe.

3. Organiziranje obvladovanja tveganja, tj. vzpostavitev ustreznega delovanjazaposlenih v organizaciji na področju varnosti pri upravljanju informacijskih tve-ganj (vloge in odgovornosti). Takšno organiziranje mora odobriti vodstvo organi-zacije Bistveno je tudi, da določimo namen obvladovanja tveganja pri varovanjuinformacij, ker ta vpliva na celoten proces in zlasti na določitev konteksta.

3.2.3 Prepoznavanje tveganja

Namen prepoznavanje tveganja je, da določimo, kaj lahko povzroči potencialno izguboter kako, kje in zakaj lahko ta izguba nastane.

Sama aktivnost določa prepoznavanje sredstev, možnih groženj in šibkih točk, kiobstajajo (ali bi lahko obstajale) ter prepoznavanje že obstoječih kontrol, njihov vplivna prepoznavanje tveganj in morebitne posledice. Prepoznavanje tveganja temelji nanaslednjih opravilih:

1. Prepoznavanje sredstev. Prepoznavanje moramo izvesti tako podrobno, dazagotovimo dovolj informacij za oceno tveganja. Stopnja natančnosti vpliva nasplošno količino informacij, zbranih med oceno tveganja. Stopnjo je mogoče vnadaljnjih ponovitvah ocene tveganja ponovno določiti kako drugače.

2. Prepoznavanje groženj. Opredeliti moramo splošne nevarnosti oz. grožnje injih razvrstiti po tipu (npr. nedovoljene dejavnosti, materialna škoda in tehničnenapake). Upoštevati je potrebno tudi interne izkušnje iz preteklih incidentov terpretekle ocene nevarnosti. Pri obravnavi groženj moramo upoštevati še vidikeokolja in kulture.

3. Prepoznavanje obstoječih kontrol. Znova moramo identificirati in preveritiobstoječe kontrole z namenom zagotavljanja njihovega pravilnega delovanja. Kon-

3.2 ISO/IEC 27005:2011 57

trole, katerih vpeljava se načrtuje v skladu z načrti za vpeljavo obravnave tveganja,je treba upoštevati na enak način kot že vpeljane kontrole. Za identifikacijo ob-stoječih oz. načrtovanih kontrol morajo biti zbrane informacije preverjene še priosebah, odgovornih za varovanje informacij, in pri uporabnikih, da ugotovimo,katere kontrole so resnično vpeljane za informacijske procese ali informacijske sis-teme. Opravimo še izvedbo fizičnih kontrol na mestu samem in pregled rezultatovinternih presoj.

4. Prepoznavanje ranljivosti. Prepoznati moramo ranljivosti, ki jih lahko izkori-stijo grožnje, da škodujejo sredstvom oziroma organizaciji. Sama prisotnost ranlji-vosti še ne povzroči škode, ker je potrebna grožnja, ki bi jo uresničila.

5. Prepoznavanje posledic. Ta dejavnost določa škodo ali posledice za organiza-cijo, ki jih lahko povzroči negativni scenarij (incident). Negativni scenarij opisujegrožnje, ki jim je organizacija izpostavljena zaradi pomanjkljivosti oziroma nizapomanjkljivosti v informacijskem varnostnem sistemu. Učinek negativnega sce-narija moramo determinirati ob upoštevanju meril učinka, opredeljenih v procesuvzpostavitev vsebin in njihovih soodvisnosti.

3.2.4 Okvirna ocena tveganja

Ocenjevanje tveganja je aktivnost dodeljevanja vrednosti verjetnostim in posledicam vsa-kega identificiranega tveganja. Sestavljajo jo naslednja opravila:

1. Izbira metodologije za okvirno oceno tveganja glede na specifičnost zah-tev in specifičnost samega tveganja: Tveganja lahko analiziramo različno na-tančno, odvisno od pomembnosti sredstva, obsega znanih ranljivosti in preteklihincidentov, ki so prizadeli organizacijo. Lahko je – odvisno od okoliščin – kvalita-tivna ali kvantitativna analiza ali kombinacija obeh. Kvalitativna okvirna ocenauporablja kvalifikacijske atribute za opis resnosti potencialnih posledic (npr. nizko,srednje, visoko) in verjetnost njihovega pojava. Prednost kvalitativne okvirneocene je v preprostosti razumevanja, medtem ko je slaba lastnost odvisnost odsubjektivne izbire ocene. Kvantitativna okvirna ocena uporablja ocenjevalno le-stvico z numeričnimi vrednostmi (namesto opisnih ocenjevalnih lestvic) za posle-dice in verjetnost, pri čemer uporabljamo podatke iz različnih virov. Kvalitetaanalize je odvisna od pravilnosti in popolnosti numeričnih vrednosti in veljavnostiuporabljenih modelov.


2. Ocena posledic: Oceniti moramo vpliv na poslovanje organizacije, ki ga lahkoima možen ali dejanski incident pri varovanju informacij. Pri tem moramo upo-števati kršitve varovanja informacij, kot so izguba zaupnosti, celovitosti ali razpo-ložljivosti sredstev. Vrednost vpliva na poslovanje se lahko izrazi v kvalitativni inkvantitativni obliki, vendar metoda določitve denarne vrednosti navadno zagotoviveč informacij za odločanje in s tem olajša učinkovitejši proces odločanja.

3. Ocena verjetnosti incidenta: Oceniti moramo verjetnost uresničitve negativnihscenarijev (scenarijev incidenta). Po določitvi scenarijev incidenta je potrebno oce-niti verjetnost pojava posameznega scenarija in vpliva, za kar ponovno uporabimokvalitativne in kvantitativne ocenjevalne tehnike. Pri tem je potrebno upoštevati,kako pogosto se grožnje uresničijo in kako lahko je izkoristiti ranljivost.

4. Raven ocene tveganja: Z okvirno oceno tveganja določimo vrednosti verjetno-sti in posledic tveganja (kvantitativne ali kvalitativne vrednosti). Okvirna ocenatveganja temelji na ocenjenih posledicah verjetnosti. Poleg tega pri tem lahkoupoštevamo stroškovne koristi, skrbi interesnih skupin in druge spremenljivke, pri-merne za vrednotenje tveganja.

3.2.5 Vrednotenje tveganja

Pri aktivnosti vrednotenja tveganj primerjamo nivo tveganja z merili za oceno tveganjater merili sprejemljivosti (opredeljenih v procesu vzpostavitve vsebin in njihovih soodvi-snosti). Merila za vrednotenje tveganja, ki se uporabijo za sprejemanje odločitev, morajobiti skladna z opredeljenim eksternim in internim kontekstom obvladovanja tveganj privarovanju informacij. Upoštevamo cilje organizacije, pomen poslovnega procesa oziromaz določenimi sredstvi podprte dejavnosti ali niz sredstev, stališča interesnih skupin itn.Odločitve, sprejete med vrednotenjem tveganja, večinoma temeljijo na sprejemljivi ravnitveganja. Vendar moramo upoštevati tudi posledice, verjetnost in stopnjo zaupanja vdoločitev tveganja in analizo. Združitev več nizkih ali srednjih tveganj lahko povzročiprecej višja skupna tveganja, zato jih obravnavamo v skladu s tem spoznanjem.

3.2.6 Obravnava tveganja

Pri ravnanju s tveganji zagotovimo seznam prednostnih tveganj z negativnimi scenarijiglede na merila tveganj. Slika 3.3 kaže zgoraj naštete štiri dejavnosti pri obravnavitveganja.

3.2 ISO/IEC 27005:2011 59

Slika 3.3: Obravnava tveganj


Kot je razvidno iz slike, standard definira štiri načine soočenja s tveganji:

1. Zmanjšanje tveganja: Raven tveganja je treba zmanjšati z izborom kontrol,tako da je preostala tveganja mogoče ponovno oceniti kot sprejemljiva. Izbratije treba ustrezne in utemeljene kontrole, da se izpolnijo zahteve, ugotovljene medoceno tveganja in obravnavo tveganja. Na splošno lahko kontrole zagotovijo eno aliveč naslednjih vrst zaščite: popravilo, odprava, preprečevanje, zmanjšanje vpliva,odvračanje, odkrivanje, obnova, spremljanje in ozaveščanje.

2. Zavestno in objektivno sprejetje tveganja: Odločitev brez nadaljnjih ukre-pov mora biti odvisna od vrednotenja tveganja. Povsem mora ustrezati politikamorganizacije in kriterijem za sprejem tveganj. Tveganja sprejmemo takšna, kot so.

3. Tveganju se izognemo: Dejavnosti ali pogoju, ki sproža določeno tveganje, seje treba izogniti.

4. Prenos tveganja: Tveganje je treba prenesti na drugo stranko, ki bo najučinko-viteje obvladala določeno tveganje glede na vrednotenje tveganja (na zavarovalnicona primer). Prenos tveganja lahko ustvari nova tveganja ali spremeni obstoječa,prepoznana tveganja.

Možnosti za obravnavo tveganja izberemo na podlagi rezultata ocene tveganja, pri-čakovanih stroškov za vpeljavo teh možnosti in pričakovanih koristi teh možnosti.

3.2.7 Sprejetje tveganj

Pri tej aktivnosti se odločimo, da tveganje sprejmemo, določimo odgovornost za to dolo-čitev in jo uradno zabeležimo. Načrti za obravnavo tveganj morajo opisati, kako obrav-navamo ocenjena tveganja za izpolnitev meril za sprejetje tveganja. Pomembno je, daodgovorni pregledajo in odobrijo predlagane načrte za obravnavo tveganja in nastalapreostala tveganja ter zabeležijo vse pogoje, ki so povezani s takšno odobritvijo.

3.2.8 Obveščanje o tveganju

Obveščanje o tveganju je dejavnost za sklenitev sporazuma o tem, kako obvladovatitveganja. Slednje storimo z izmenjavo in/ali delitvijo informacij o tveganju med osebami,ki sprejemajo odločitve, in drugimi interesnimi skupinami. Takšne informacije vključujejoobstoj, naravo, obliko, verjetnost, resnost, obravnavo, sprejemljivost tveganj in ostalo.

3.3 ISO 28000:2007 61

Oseba, ki sprejema odločitve, in zainteresirane javnosti, si morajo izmenjavati infor-macije o tveganju. Uspešna komunikacija med zainteresiranimi stranmi je pomembna,ker lahko odločilno vpliva na odločitve, ki jih je treba sprejeti. Sporočanje bo zagotovilo,da osebe, odgovorne za vpeljavo obvladovanja tveganja, in osebe, zainteresirane zanj,razumejo podlago, na kateri sprejememo odločitve in določene ukrepe. Komunikacija jedvosmerna.

3.2.9 Nadzor in ocenjevanje tveganja

Ocena tveganja določa vrednost informacijskih sredstev, prepoznava obstoječe grožnje inranljivosti (ali ki bi lahko obstajale), prepoznava obstoječe kontrole in njihov vpliv naobstoječa tveganja, določa možne posledice in prednostni vrstni red ugotovljenih tveganjin jih razporedi v skladu z merili za vrednotenje tveganja, opredeljenimi pri določanjukonteksta. Stalno spremljanje in pregledovanje sta nujna koraka, s katerima zagotovimo,da kontekst, rezultat ocene tveganja in obravnave tveganja ter načrti za obvladovanjeostanejo ustrezni glede na okoliščine. Organizacija se mora prepričati, da proces obvlado-vanja tveganj pri varovanju informacij in z njimi povezane dejavnosti ostanejo ustrezneglede na obstoječe okoliščine in se upoštevajo. Vsako dogovorjeno izboljšavo procesaali ukrepov, ki so potrebni za izboljšanje skladnosti s procesom, moramo sporočiti vod-stvu, da bi zagotovili, da nobenega tveganja ali elementa tveganja ne spregledamo alipodcenimo, da ustrezno ukrepamo, tveganje razumemo in smo se sposobni nanj odzvati.

Poleg tega mora organizacija redno preverjati, da so ukrepi, ki se uporabljajo zamerjenje tveganja in njegovih elementov, še vedno veljavni in v skladu s poslovnimi cilji,strategijami in politikami ter da se med obvladovanjem tveganja pri varovanju informacijustrezno upoštevajo spremembe poslovnega okolja.

3.3 ISO 28000:2007

Ta standard se uporablja za izvajanje sistemov za upravljanje varnosti oskrbovalne verigev organizacijah. Osnovni namen standarda je, da „se lahko neposredno in formalnopristopi k upravljanju varnosti organizacij tako, da se zagotovi poslovna uspešnost inverodostojnost organizacije” [6]. ISO 31000 je splošni standard za upravljanje tveganj,ISO 28000 pa specifična uporaba varnosti pri oskrbovalnih verigah. Pri tem upravljanjevarnosti opredeljuje kot „uporabo sistematičnih in usklajenih dejavnosti in praks, prekkaterih organizacija optimalno upravlja tveganj povezanimi z oskrbovalnimi verigami ter


s tem povezanimi potencialnimi nevarnostmi in vplivi njih” [6].ISO 28000:2007 določa zahteve za sistem upravljanja varnosti, vključno s tistimi

vidiki, kritičnih za varnostne zanesljivosti dobavne verige.ISO 28000: 2007 se uporablja za vse velikosti organizacij v kateri koli fazi proizvodnje

ali oskrbovalne verige, ki želi:

1. vzpostaviti, izvajati, vzdrževati ali izboljšati sistem upravljanja varnosti;

2. zagotoviti skladnost z vzpostavljeno politiko upravljanja varnosti;

3. drugim dokazati takšno skladnost;

4. si prizadeva certificirati svoj sistem upravljanja varnosti tako, da je akreditiran sstrani certifikacijskega organa; ali

5. da zase doseže skladnost s standardom ISO 28000.

Poleg tega lahko obstaja zakonodaja ali kakšne druge pogodbene obveznosti, ki vklju-čujejo nekatere zahteve iz standarda.

Organizacije, ki se odločijo za certificiranja s strani tretje osebe (certifikacijskegaorgana na primer) dokazujejo, da pomembno prispevajo k varnosti dobavne verige.

Področja kot jih definira ISO 28000, kjer se tveganja lahko pojavljajo so:

1. Tveganja fizičnih odpovedi, kot so na primer funkcionalne odpovedi opreme, na-ključne odpovedi, zlonamerne poškodbe, teroristična ali kriminalna dejanja.

2. Operativna tveganja, ki vključujejo nadzor varnosti, človeškega faktorja in ostaleaktivnosti, ki vplivajo na uspešnost, stanje in varnost organizacije.

3. Naravni okoljski dogodki (nevihte, poplave itd.), zaradi katerih lahko varnostniukrepi in oprema postanejo manj učinkoviti.

4. Faktorji, ki niso pod nadzorom organizacije, kot na primer odpoved opreme alistoritev, ki jih izvajajo zunanji ponudniki.

5. Tveganja vseh zainteresiranih udeležencev organizacije, kot na primer nedoseganjeregulativnih zahtev ali zmanjšan ugled blagovne znamke.

6. Načrtovanje in instalacija varnostne opreme, vključujoč menjavo, vzdrževanje itd.

7. Upravljanje informacij in podatkov ter komunikacije.

8. Grožnje za kontinuiteto delovanja.

Poglavje 4

Princip modeliranja tveganj ssegmentacijo javnosti

V literaturi in v praksi govorimo o tveganjih, ki jih nosijo nežive stvari, pa čeprav imajosamo ljudje sposobnost zaznavanja samega sebe [4]. Če je res, da nosijo tveganja samoljudje, se lahko vprašamo: „Čigava tveganja upravljamo? [4]” Potemtakem potrebujemosamo modele tveganj, ki bi upoštevali specifičnosti posameznih javnosti, če velja, datveganja zadevajo samo ljudi?

Sedanji modeli tveganj v večini primerov ne upoštevajo stanja okolja, ki ga zaznavajo,in kjer so akumulirana pretekla dejstva, lastna opazovanemu sistemu in imajo svoj vplivna trenutno stanje. Modeli, ki se danes v literaturi in v praksi pretežno uporabljajo, soposledica precejšnjih poenostavitev in posplošitev. Takšno stanje je seveda pričakovano,saj bi bili brez poenostavitev in posplošitev verjetno še vedno brez uporabnih modelov.Gre za razvoj, ki se, če je uspešen, vedno začne s poenostavitvami.

Obstoječi modeli prav tako ne upoštevajo in ne vključujejo hkrati „negotovosti” in„izpostavljenosti”, ki sta lastni ljudem. Vsaka oseba ali vsaka javnost ima specifičnatveganja in s tem ima vsaka javnost svojo lastno negotovost in izpostavljenost.

V nadaljevanju je dopolnjen aktualen pogled na temeljne pojme, s katerimi se ukvar-jamo pri tveganjih, saj je od širšega ali ožjega pojmovanja tveganj v veliki meri odvisnakompleksnost modelov upravljanja modela procesov ob upoštevanju tveganja in segmen-tacije javnosti.

Predlagan bo splošni princip za model tveganj, ki temelji na sistemskem pristopu.Pri tem modelu so pomembni predvsem [13]:

64 Princip modeliranja tveganj s segmentacijo javnosti

1. Vhodi in izhodi posameznega poslovnega procesa.

2. Tveganja („risks”) in vplivi („impacts”) kot nasprotje splošnih (podatkovnih) vho-dov in izhodov.

3. Interno in eksterno okolje opazovanega sistema poslovnih procesov tako, da sevhodi, izhodi, tveganja in vplivi delijo na interne (na katere imamo načeloma večjivpliv) in eksterne.

Za vse vhode in izhode opazovanega sistema je potrebno določiti posamezne (zainteresi-rane) javnosti.

Morebitne dodatno definirane dimenzije modela so odvisne od potreb posameznegaprimera.

V nadaljevanju sledi podpoglavje o problemu definicije tveganj, ki je ključnega po-mena za razumevanje predlaganega modela upravljanja tveganj. V tretjem poglavju bopo korakih opisan predlagani model tako, da bo v vsakem koraku opisana ena lastnost alidimenzija modela. Celotno poglavje pa sledi objavam predlaganega modela v [16,17,20].

4.1 Definicija tveganja

V nadaljevanju bom upošteval Holtonovo definicijo, ki pripisuje tveganja le ljudem in zatov temeljih spreminja obstoječi pogled na tveganja in njihovo obravnavo. Holtonov [3]pogled na tveganje pravi, da je videti, da sta:

1. izpostavljenost in

2. negotovost

edini ključni komponenti tveganj. Najtežje jih je določiti in upoštevati. Oglejmosi ilustrativen primer. Most kot zgradba nima nobenega tveganja, četudi je zgrajen šetako slabo. Tveganja nosijo samo deležniki (ljudje), ki so na takšen ali drugačen načinpovezani s tem mostom. Most sam po sebi nima dimenzije izpostavljenosti, kot bo tadefinirana in opisana v nadaljevanju. Prav tako je vprašljiva interpretacija negotovosti,ki jo ima most.

Zaradi poenostavitev lahko v posameznih primerih jemljemo za osebe tako fizične kotpravne osebe, čeprav ni težko prevesti pravne osebe v specifično javnost fizičnih oseb.Prav tako velja, da s tovrstno posplošitvijo kaj kmalu zaidemo v slepo ulico. Namrečv zelo malem številu primerov tvegajo samo deležniki v podjetjih in organizacijah. V

4.1 Definicija tveganja 65

ozadju so zaposleni, lastniki, investitorji, lokalna skupnost, itd. Vsak od teh deležnikov(ali skupina) pa ima svojo negotovost in izpostavljenost. [3]

Oglejmo si še problematiko verjetnosti, saj je verjetnost sestavni del tveganj. PoKnightu [22] tveganja razdelimo na:

1. prava ali objektivna tveganja, kjer imamo opraviti z logiko, verjetnostmi in stati-stičnimi metodami, in na

2. negotovosti ali subjektivna tveganja, ko si z verjetnostmi ne moremo ali ne znamokaj veliko pomagati – ko jo določijo posamezniki glede na to koliko v kaj verjamejoali si določijo vrednostni sistem na osnovi mnenj in tako opišejo svojo negotovost.

Torej lahko pri tveganjih sklepamo, da verjetnost sicer lahko uporabljamo kot metrikoza mero tveganja, vendar je njena uporaba omejena in pomanjkljiva. Manjka vsaj še meraza negotovost [22].

4.1.1 Negotovost

Negotovost je stanje, ko ne vemo, ali neka predpostavka ali trditev drži ali ne (je pravilnaali nepravilna). Verjetnost je tista metrika, s katero največkrat izražamo negotovost,vendar je njena uporaba omejena. Največ, kar je mogoče oceniti, je tista negotovost, kismo jo sposobni „zaznati”.

Pri oblikovanju modela predlagam uporabo negotovosti tako, kot jo uporablja Holton,vendar jo delim naprej tako kot to pravi Knight za tveganja. Tako uporabljam:

1. objektivno negotovost in

2. subjektivno negotovost.

4.1.2 Izpostavljenost

Osnovno vprašanje pri testiranju izpostavljenosti je naslednje: Ali nam je mar? [3] Z dru-gimi besedami: izpostavljeni smo takrat, kadar ima neki dogodek za nas neke materialneali nematerialne posledice. Ljudje smo torej izpostavljeni, če nas skrbi, ali predpostavkadrži ali ne. Lahko smo izpostavljeni tveganju in se tega povsem zavedamo (v primeru,če prisebni hodimo po ograji visokega mostu) ali pa se tveganja sploh ne zavedamo (čenas „nosi luna” in hodimo po ograji visokega mostu). Tveganje lahko jemljemo zelo resno(na primer, če imamo opraviti z omejitvijo hitrosti v naselju, kjer je vedno policijska


patrulja) ali pa nam tveganja ni mar (kot v primeru vožnje s prekomerno hitrostjo vnaselju, kjer vemo, da ni policijske kontrole, ura je pozna in cesta je prazna). Torejizpostavljenost vnaša dodatno nedoločljivost, ki je odvisna predvsem od posameznika alineke javnosti in njene percepcije glede izpostavljenosti in posledično tudi tveganja. Takonismo soočeni samo s problemom metrike negotovosti, temveč tudi s problemom metrikeizpostavljenosti.

4.1.3 Tveganje

Upoštevaje zgornje opise negotovosti in izpostavljenosti, lahko zaključimo: tveganje jeizpostavljenost negotovosti.

Ker je oboje, tako negotovost kot izpostavljenost, težko določiti, je tudi tveganje težkoopredeliti. Torej je tveganja težko modelirati in simulirati. Po drugi strani s poenosta-vljenimi modeli, kadar poenostavimo tveganje, v splošnem ne moremo biti verodostojni.Največkrat modeli poenostavijo problematiko tveganj kar na zmnožek verjetnosti za po-jav tveganja z velikostjo predvidene škode, ki ob tem nastane. Takšni modeli so sevedauporabni v zelo omejenem obsegu.

Zaradi dimenzije negotovosti in izpostavljenosti, je tveganje pojem, ki vključuje po-sameznika ali javnost kot nujno definiran parameter.

4.2 Principi oblikovanja modela

Pri opisanem principu sem sledil želji, da bi bil model dovolj splošen za uporabo v raz-ličnih situacijah in na različnih področjih, kjer se soočamo s tveganji kot na primer:prodajo in distribucijo naravnega plina, zagon nove poslovne priložnosti, vojaško avan-turo, . . . in tudi ljubezensko razmerje. Kljub temu, da je v tem prispevku opisani modelmogoče uporabiti na širokem spektru področij življenja, je kot za primer v nadaljevanjuobrazložen model poslovnih procesov. Glede na posamezno obravnavano področje, ki gaželimo modelirati, je pomen posameznega segmenta modela (različne javnosti, internovs. eksterno, itd.) lahko različen, vendar verjetno ne moremo govoriti o tem, da je nanekem področju določen segment modela povsem zanemarljiv.

4.2 Principi oblikovanja modela 67

Slika 4.1: Poenostavljen poslovni proces, pri katerem uradnik A pregleduje inusmerja prispele dokumente v poslovna procesa B (k uradniku B) in C (k uradnikuC)

4.2.1 Predstavitev procesov

Pri modeliranju je sistem poslovnih procesov predstavljen z grafom, ki je matematičnastruktura, v kateri vozlišča predstavljajo posamezen proces, usmerjene povezave medvozlišči pa njihove medsebojne odvisnosti.

Primer Poglejmo si primer sistema poslovnih procesov, pri katerem uradnik A (po-slovni proces A) sprejema dva tipa dokumenta. To sta dokumenta tipa X in Y. Koprejme dokument, ga pregleda in oceni korektnost ter ga po potrebi zavrne. Zavrnjendokument je tipa Z. Dokumente tipa X pošlje naprej v postopek obravnave uradnikuB (poslovni proces B) in dokumente tipa Y uradniku C (poslovni proces C). Slika 4.1prikazuje pravkar opisan poenostavljen primer poslovnih procesov in njihove medsebojneodvisnosti.


4.2.2 Opis stanja procesa s parametri in časovna dimenzija

modela

Vsakemu procesu lahko pripišemo poljubno število parametrov, ki simbolizirajo in opi-sujejo njegova notranja stanja. Primeri takšnih parametrov so lahko: predviden čas zaizvajanje; funkcija odstopanja od predvidenega časa; senzibilnost na posamezne tipe tve-ganj; obdobje v letu, ko je pomen procesa v okviru celotnega sistema procesov visok alinizek; stopnja zrelosti (t.i. „maturity level”); stopnja sprejemljivosti posameznih tveganj;stopnja sprejemljivosti posameznih vplivov; . . .

Največji pomen parametrov je v tem, da omogočajo, da se s časom v njih „akumulira”pretekli življenjski cikel posameznega poslovnega procesa, ki ga upoštevamo pri izraču-navanju vplivov in novih vrednosti parametrov. Na ta način pri modeliranju zajamemo„zgodovino” modeliranega sistema. V teh parametrih je akumulirana zgodovina preteklihtrenutkov in s tem preteklih kombinacij tveganj in ostalih vplivov na poslovni proces.

Primer V primeru pregledovanja prispelih dokumentov je parameter procesa A lahkoštevilo zamud, ki nastanejo, ker uradnik A dokumenta ni v predpisanem roku poslal na-prej v reševanje ali pa ga zavrnil zaradi neustreznosti. Vsaka posamezna zamuda, ki jomodel sicer lahko upošteva, je v našem primeru nepomembna. Večje število posameznihzamud, pa ima lahko škodljive posledice. Torej je potrebno v model vnesti ne le posame-zne zamude, temveč tudi „zgodovino” vseh zamud, ki jo je skozi čas potrebno spreminjatiin upoštevati.

Pri modelu tveganja velja, da po vsakem diskretnem časovnem intervalu dobimo novizračun opazovanih vrednosti. Pri tem opazujemo predvsem:

1. parametre, ki opisujejo notranja stanja,

2. tveganja in

3. vplive

posameznega procesa sistema opravil. Izračun lahko v vsakem časovnem segmentu spre-meni opazovano vrednost ali pa ta ostane enaka.

Slika 4.2 prikazuje izračun izhoda Izhod(Pk, t+∆) in parametre Paramk, x(t) v časut + ∆ procesa Pk, ki se glede na:

1. vhod V hod(Pk, t),

2. stanje procesa Stanje(Pk, t) v času t in


Slika 4.2: Proces Pk s splošnimi vhodi in izhodi ter parametri, ki opisujejo njegovanotranja stanja

3. funkcijo ΦSC , s katero izračunavamo notranje stanje procesa v naslednjem časov-nem obdobju,

spremenijo.

Primer V zgoraj opisanem primeru poenostavljenega poslovnega procesa, kjer ura-dniki A, B in C opravljajo svoje delo, lahko simuliramo njihovo poslovanje tako, da vsakouro simuliramo morebitno prispetje enega ali večjega števila dokumentov do uradnika Ain nato na osnovi statistično poznanih dejstev simuliramo čase (in zamude) pri pregle-dovanju, preusmerjanju in zavračanju dokumentov. Seveda se vsako uro, to je v tistemdiskretnem časovnem trenutku, ko pregledamo morebitne spremembe v sistemu procesovin ustrezno ažuriramo posamezne vrednosti parametrov modela, vrednosti parametrovprocesa lahko spremenijo ali pa tudi ne, skladno s funkcijo ΦSC.

4.2.3 Vhodi in izhodi procesa ter segmentacija na tveganja

in vplive

Tveganja so del vhoda v proces, ki lahko predstavljajo negativno (to je škodo) ali po-zitivno pričakovanje. Največkrat gre za poslovna tveganja. Pomen ali velikost tveganjamerimo na izhodni strani z vplivi, ki predstavljajo posebno vrsto izhoda.

Tako vhod segmentiramo na:

1. splošen vhod in na

2. tveganja,

izhod pa na:

1. splošen izhod in na


2. vplive (ki so posledica tveganj).

To pomeni, da moramo izluščiti tiste vhode, ki imajo za nas poseben pomen – to sotveganja, ki vplivajo skupaj s splošnim vhodom na stanje procesa in na vplive. Določitevtveganj je, kot je opisano zgoraj, težaven proces, vendar samo iskanje in določanje tveganjni predmet tega prispevka. V nadaljevanju si oglejmo primer tveganja in vpliva.

Primer Primer tveganja je prispetje dokumenta, ki predstavlja slabo kopijo (slabo„sliko”) nekega dokumenta in kot tak lahko predstavlja tveganje za njegovo ustreznoobravnavo. Uradnik A lahko takšen dokument potrdi kot ustreznega in ga pošlje vnadaljnjo obravnavo, vendar se lahko kasneje izkaže, da je ključni del takšnega dokumentanečitljiv. Posledično nastane škoda. Predpostavimo, da so dokumenti tipa X takšni, danjihovo neustrezno obravnavanje v procesu sprejema povzroči večjo škodo, medtem konapačno obravnavanje dokumentov tipa Y praktično nima negativnih posledic.

Vplive izračunamo podobno kot stanje procesa, vendar je tukaj funkcija seveda dru-gačna. Odvisni so od splošnega vhoda, tveganj in od stanja procesa.

Slika 4.5 prikazuje izračun splošnega izhoda SploenIzhod(Pk, t + ∆) in vplivovV plivi(Pk, t + ∆) procesa Pk v časut + ∆. Vplivi se glede na:

1. splošen vhod SploenV hod(Pk, t) in tveganja Tveganja(Pk, t), ki skupaj predsta-vljata V hod(Pk, t),

2. stanje procesa Stanje(Pk, t) v času t in

3. funkcijo ΦIC

spremenijo. Posamezni vplivi v času t so Ik, x(t).Obe prejšnji sliki (4.2 in 4.3) je mogoče zliti v eno tako, da vhod in izhod na sliki

4.2 zamenjamo s segmentiranim vhodom (splošen vhod, tveganje) in izhodom (splošenizhod, vplivi), kot je prikazano na sliki 4.4.

Tudi splošen izhod je izračunan po neki funkciji, vendar ta funkcija ni predmet tegaprispevka. Pri modeliranju in simulacijah jo je potrebno upoštevati, saj je splošen izhodprocesa Pk lahko splošen vhod v enega ali več ostalih procesov.

4.2.4 Segmentiranje glede na izvor in ponor vhodov in iz-

hodov opazovanega sistema opravil

Naslednja segmentacija zahteva, da delimo vhode in izhode tako, da opazujemo posebejvhode, ki imajo izvor in ponor znotraj zaključenega in opazovanega sistema procesov,


Slika 4.3: Proces Pk z vhodom, ki ga sestavljajo splošen vhod in tveganja, in zizhodom, ki ga sestavljajo splošen izhod in vplivi

Slika 4.4: Zlitje slik 4.2 in 4.3, kjer imamo opravka s segmentiranim vhodom inizhodom ter z notranjimi stanji


Slika 4.5: Segmentacija vhodov in izhodov sistema procesov glede na to, ali gre zainterne ali eksterne izvore in ponore

ter na tiste, ki imajo svoj izvor in ponor zunaj – to je eksterno glede na opazovan sistemopravil. Celoten sistem opravil naj predstavlja naš „model sveta”. Glede na ta „modelsveta”, lahko govorimo o internih in eksternih vhodih in izhodih. Za interne izhode jeznačilno, da so v naslednjem diskretnem časovnem trenutku interni vhodi v nek drug pro-ces znotraj opazovanega sistema procesov. Interni izhodi so v praksi posebej pomembnizato, ker imamo nanje večji vpliv (na primer interno glede na podjetje, oddelek, nekoskupnost, državo, itd.). V praksi to pomeni, da lahko z internimi dogovori (predpisi,poslovnimi običaji, prakso, itd.), na katere imamo vpliv, spremenimo marsikateri interniizhod (torej tudi interni vpliv), ki določa obnašanje sistema procesov v naslednjem časov-nem intervalu. Slika 5 grafično prikazuje sistem opravil, v katerem se zavedamo internostiin eksternosti.

Primer Pri delu uradnikov lahko vplivamo na zmanjšanje tveganja povezanega z na-pačno usmerjenimi dokumenti tipa X in Y uradnikoma B in C in s tem na zmanjšanjevplivov napačno usmerjenih dokumentov – gre za interne procese in njihove medsebojnepovezave (glej sliko 4.1 ali 4.5). Nimamo pa nikakršnega vpliva na kakovost „slike” prispe-


Slika 4.6: Segmentacija tveganj in vplivov na množico internih in eksternih

lih dokumentov od „zunaj” in zato v tem primeru kakovost „slike” predstavlja eksternotveganje. Pri modeliranju to pomeni, da sliko 4.4 dopolnimo tako, da B4 (tveganja)segmentiramo na B4I in B4E, kar predstavlja interna in eksterna tveganja. B5 (vplivi)pa segmentiramo na B5I in B5E, ki predstavljata interne in eksterne vplive. Rezultattakšne transformacije je na sliki 4.6.

Predmet posebne pozornosti pri oblikovanju modela in simulacijah so tako:

1. interna tveganja (B4I),

2. eksterna tveganja (B4E),

3. stanje procesa, ki ga opisujejo njegovi parametri (A2),

4. interni vplivi (B5I) in

5. eksterni vplivi (B5E).

Splošne vhode in izhode ne segmentiramo glede na interno ali eksterno, ker jih priobravnavanem principu oblikovanja modela sicer predvidimo in pri simulacijah modelatudi upoštevamo, vendar nimajo posebnega pomena pri upravljanju tveganj. Torej nisopredmet naše pozornosti.

4.2.5 Segmentiranje glede na različne javnosti

Ob predpostavki, da smo ljudje v različnem odnosu do nekega tveganja, ki se pojavljav neki situaciji, največkrat problema ne delimo na posameznike, temveč na množiceljudi, oziroma posamezne javnosti, ki imajo skupen odnos do določenega tveganja. Zatoje potrebno opraviti tudi segmentacijo javnosti in izvesti simulacijo za vsako javnostposebej. Enačbi s slike 4.2 in 4.3 upoštevata dimenzijo časa, ne upoštevata pa dimenzije,ki jo prinese segmentacija javnosti.


Glede na pristop, ki ga pojasnjujem v tem gradivu, moramo izračunati tveganje gledena posamezno javnost. Tveganja se lahko spreminjajo tudi glede na čas. Enačba (4.1)prikazuje izračunana tveganja Rk,x za proces Pk in segment javnosti SegmentJavnostil

v času t.

Tveganje(Pk, SegmentJavnostil, t) =

ΦRC

(Negotovost(Pk, SegmentJavnostil, t)

Izpostavljenost(Pk, SegmentJavnostil, t)

)=

ΦRC

ObjektivnaNegotovost(Pk, SegmentJavnostil, t)

SubjektivnaNegotovost(Pk, SegmentJavnostil, t)


=

{(Rk,l,1(t), (Rk,l,2(t), . . . , (Rk,l,m(t)}

(4.1)

kjer pomenijo:

1. Pk je proces k.

2. Negotovost(Pk, SegmentJavnostil, t) je negotovost pri procesu Pk glede na se-gment javnosti SegmentJavnostil v času t, ki se v drugem koraku deli na objek-tivno (ObjektivnaNegotovost) in subjektivno (SubjektivnaNegotovost) negoto-vost.

3. Izpostavljenost(Pk, SegmentJavnostil, t) je izpostavljenost pri procesu Pk gledena segment javnosti SegmentJavnostil v času t.

4. Posamezna tveganja za proces Pk predstavlja množica m-tih tveganj{(Rk,l,1(t), (Rk,l,2(t), . . . , (Rk,l,m(t)} glede na segment javnosti SegmentJavnostil

v času t.

5. Funkcija ΦRC izračunava tveganja.

Enačba (4.2) predstavlja izračun stanja procesov v naslednjem časovnem intervalu.Izračunavamo s funkcijo ΦSC , izračunavanje pa temelji na:

1. vrednosti vhoda v proces, ki je sestavljena iz (glej sliko 4.2 in 4.3):

(a) tveganja, ki ga izračunamo na osnovi informacij o (glej enačbo (4.1)):

i. objektivni in

ii. subjektivni negotovosti ter


iii. izpostavljenosti;

(b) splošnega vhoda, ki ne vsebuje tveganj;

2. in trenutni vednosti parametrov s katerimi opisujemo stanje procesa.

Stanje(Pk, SegmentJavnostil, t + ∆) =

ΦSC

(V hod(Pk, SegmentJavnostil, t)

Stanje(Pk, SegmentJavnostil, t)

)=

ΦSC

Tveganje(Pk, SegmentJavnostil, t)

SplosenV hod(Pk, t)


=

ΦSC

ΦRC




SplosenV hod(Pk, t)


=

{Paramk,l,1(t + ∆), Paramk,l,2(t + ∆), . . . , Paramk,l,m(t + ∆)}

(4.2)

Z enačbo (4.3) izračunamo vplive na podoben način, kot smo z enačbo (4.2) izračunalistanja procesa.

V pliv(Pk, SegmentJavnostil, t + ∆) =

ΦIC



)=

ΦIC

Tveganje(Pk, SegmentJavnostil, t)

SplosenV hod(Pk, t)


=

ΦIC

ΦRC




SplosenV hod(Pk, t)


=

{Ik,l,1(t + ∆), Ik,l,2(t + ∆), . . . , Ik,l,m(t + ∆)}

(4.3)


Z upoštevanjem enačb (4.2) in (4.3) lahko vplive izrazimo tudi z enačbo (4.4).

V pliv(Pk, SegmentJavnostil, t + ∆) =

ΦIC



)=

ΦIC

V hod(Pk, SegmentJavnostil, t)

ΦSC

Tveganje(Pk, SegmentJavnostil, t− 1)

SplosenV hod(Pk, t− 1)

Stanje(Pk, SegmentJavnostil, t− 1)

=

=

ΦIC

SplosenV hod(Pk, t)

ΦRC




ΦSC

ΦRC

ObjektivnaNegotovost(Pk, SegmentJavnostil, t− 1)

SubjektivnaNegotovost(Pk, SegmentJavnostil, t− 1)

Izpostavljenost(Pk, SegmentJavnostil, t− 1)

SplosenV hod(Pk, t− 1)

Stanje(Pk, SegmentJavnostil, t− 1)

=

{Ik,l,1(t + ∆), Ik,l,2(t + ∆), . . . , Ik,l,m(t + ∆)}(4.4)

Tako smo z enačbami od (4.1) do (4.4) dodali še zadnji napotek, kako izračunativrednosti, ki so za upravljanje tveganj posebnega pomena. Z drugimi besedami: pre-dlagan princip za oblikovanje modelov upravljanja procesov ob upoštevanju tveganj insegmentiranja javnosti predvideva, da so v model vgrajeni izračuni enačb (4.1), (4.2) in(4.3) ali (4.1), (4.2) in (4.4).

4.2.6 Meje sprejemljivosti

Na koncu moramo v modelu določiti še meje sprejemljivosti za tveganja, vplive in stanjaprocesov ter glede na tako določene meje določiti sprejemljiva in nesprejemljiva tveganja,vplive in stanja procesov. To lahko določimo z enačbami od (4.5) do (4.13).

Pri tveganjih so meje sprejemljivosti tveganja RAB izračunane v enačbi (4.5) s funk-cijo ΦRAB, meje sprejemljivosti vplivov IAB v enačbi (4.6)6 s funkcijo ΦIAB in mejesprejemljivosti vrednosti stanj procesov SAB v enačbi (4.7) s funkcijo ΦSAB.


MejaSprejemljivostiTveganja(Pk, SegmentJavnostil, t) =

ΦRAB (Tveganje(Pk, SegmentJavnostil, t))

{RABk,l,1(t), RABk,l,2(t), . . . , RABk,l,m(t)}(4.5)

MejaSprejemljivostiV pliva(Pk, SegmentJavnostil, t) =

ΦIAB (V pliv(Pk, SegmentJavnostil, t))

{IABk,l,1(t), IABk,l,2(t), . . . , IABk,l,m(t)}(4.6)

MejaSprejemljivostiStanja(Pk, SegmentJavnostil, t) =

ΦRAB (Stanje(Pk, SegmentJavnostil, t))

{SABk,l,1(t), SABk,l,2(t), . . . , SABk,l,m(t)}(4.7)

V enačbah (4.8), (4.9) in (4.10) so napisane sprejemljive vrednosti za tveganje, vplivein vrednosti stanj procesa glede na dane meje sprejemljivosti.

SprejemljivaTveganja(Pk, SegmentJavnostil, t) =

{Rk,l,x(t);x = 1, 2, . . . ,m ∧Rk,l,x(t) < RABk,l,x(t)}(4.8)

SprejemljiviV plivi(Pk, SegmentJavnostil, t) =

{Ik,l,x(t);x = 1, 2, . . . ,m ∧ Ik,l,x(t) < IABk,l,x(t)}(4.9)

SprejemljivaTveganja(Pk, SegmentJavnostil, t) =

{Paramk,l,x(t);x = 1, 2, . . . ,m ∧ Paramk,l,x(t) < SABk,l,x(t)}(4.10)

V enačbah (4.11), (4.12) in (4.13) so napisane nesprejemljive vrednosti, ki sevedapredstavljajo množico vrednosti, ki je enaka množici vseh vrednosti, zmanjšana za mno-žico vrednosti, ki so sprejemljive.

NesprejemljivaTveganja(Pk, SegmentJavnostil, t) =

Tveganje(Pk, SegmentJavnostil, t)− SprejemljivaTveganja(Pk, SegmentJavnostil, t)

(4.11)

NesprejemljiviV plivi(Pk, SegmentJavnostil, t) =

V pliv(Pk, SegmentJavnostil, t)− SprejemljiviV plivi(Pk, SegmentJavnostil, t)

(4.12)


Tabela 4.1: Objektivne negotovosti glede na posamezna tveganja in javnosti

SJ1 SJ2 SJ3R1 M M ØR2 S S ØR3 M M Ø

NesprejemljivaStanja(Pk, SegmentJavnostil, t) =

Stanje(Pk, SegmentJavnostil, t)− SprejemljivaStanja(Pk, SegmentJavnostil, t)

(4.13)

Primer Za poslovni proces A (glej sliko 4.1) naj za vse opazovane javnosti velja, dase tveganja in meje sprejemljivosti tveganj skozi čas ne spreminjajo. Tveganja, ki jihspremljajo, naj bodo:

1. R1 – Prispeli dokument ima slabo kakovost.

2. R2 – Zamuda pri pregledovanju, preusmerjanju in zavračanju dokumentov.

3. R3 – Napačno usmerjen dokument.

Posamezne opazovane javnosti so:

1. SJ1 – Zaposleni, ki izvajajo poslovni proces A.

2. SJ2 – Lastniki poslovnega procesa A.

3. SJ3 – Uporabniki poslovnega procesa A.

Objektivna in subjektivna negotovost, izpostavljenost ter tveganja naj imajo zalogoštirih vrednosti: Ø – ni vrednosti, M – relativno male vrednosti, S – srednje vrednosti,V – relativno velike vrednosti. Kljub temu, da so oznake enake, imajo različen pomen zanegotovosti, izpostavljenost in tveganje. V tabelah od 4.1 do 4.3 so primeri vrednosti, kijih v primeru modeliranja spreminjamo.

Z enačbo (4.1) računamo tveganja, ki jih za dani primer prikazuje tabela 4.4. FunkcijaΦRC je v tem primeru poenostavljena tako, da izračuna tveganje kot najslabšo možnostv kartezičnem produktu med objektivno in subjektivno negotovostjo ter med izpostavlje-nostjo.


Tabela 4.2: Subjektivne negotovosti glede na posamezna tveganja in javnosti

SJ1 SJ2 SJ3R1 Ø M MR2 Ø V VR3 Ø S V

Tabela 4.3: Izpostavljenost glede na posamezna tveganja in javnosti

SJ1 SJ2 SJ3R1 M S MR2 M S VR3 S V V

Tabela 4.4: Izračunana tveganja glede na posamezne javnosti

SJ1 SJ2 SJ3R1 M S MR2 S V VR3 S V V


Tabela 4.5: Sprejemljiva tveganja za posamezne javnosti

SJ1 SJ2 SJ3R1 M,S M,S M,SR2 M,S M,S M,S,VR3 M M M,S

Če bi bila meja sprejemljivosti takšna, da bi bila sprejemljiva tveganja, kot jih opisujetabela 4.5, bi bilo tveganje R3 nesprejemljivo za vse javnosti, medtem ko bi bila ostalatveganja sprejemljiva, tveganje R2 pa za javnost SJ2.

V praksi bi se morali odločiti, kaj s temi tveganji storiti. V primeru, da bi jih želelizmanjšati, bi bilo potrebno izvesti ukrepe za zmanjšanje negotovosti in/ali izpostavlje-nosti.

Na podoben način bi izračunali tudi notranja stanja in vplive ter jih ocenili glede nanjihovo mejo sprejemljivosti.

Poglavje 5

Katalog tveganj v oskrbovalni verigi

Organizacije v današnjem času ne morejo delovati v izolirano varnem okolju brez tveganj,ki izhajajo iz oskrbovalnih verig. Še posebej lahko to trdimo zaradi trendov globaliza-cije in globalnega oskrbovanja, ki se pojavljajo v zadnjih letih in postajajo vedno boljaktualni. Tveganja, ki izhajajo iz logistike in oskrbovalnih verig, postajajo glavna skrbv današnjih logističnih in oskrbovalnih procesih v vseh organizacijah. Posledično lahkotrdimo, da je proces upravljanja tveganj ključnega pomena za neprekinjeno delovanjeorganizacij na vseh področjih delovanja. Najverjetneje je tveganja najlažje razumeti, česi jih predstavljamo v luči koncepta investicij. Te so baza vsake poslovne aktivnosti –omogočajo vzdrževanje, povečujejo obseg poslovanja ali omogočajo spremembe v poslov-nih aktivnostih [5, 14, 15, 19, 20] – in hkrati vključujejo tveganja in njihovo upravljanjekot ključni faktor v operacijskih aktivnostih; praktično ni investicij brez tveganj.

Tveganja so integrirana v naša življenja, zdi se, kot da ljudje nikoli prej nismo posve-čali toliko pozornosti izzivom, ki jih prinašajo tveganja, kot to počnemo danes. Velikočlankov, prispevkov in pogovorov se vrti okoli tematike tveganj, posledično obstaja velikoidej in predstav o tem, kaj tveganje sploh je in kaj predstavlja, kar kaže na kompleksnostproblema, ki se pojavi, ko se nekdo loti obsežnega upravljanja tveganj.

Če se naslonimo na model upravljanja tveganj, kot nam ga nudi ISO 31000, vidimo,da so procesi, ki so vključeni v ocenjevanje tveganj, še posebej prepoznavanje in analizatveganj, najbolj ključni v celotnem procesu upravljanja tveganj. Zavedati se je potrebno,da tveganja, ki niso zaznana v procesu prepoznavanja tveganj, tudi kasneje niso obrav-navana in vključena v upravljanje tveganj, torej so spregledana in se nanje ne moremopripraviti. Prav zaradi tega smo na Fakulteti za logistiko razvili model za učinkovitoocenjevanje tveganj v organizacijah. Pilotno testiranje modela je potekalo v sodelova-

82 Katalog tveganj v oskrbovalni verigi

nju s podjetjem, ki deluje pretežno na področju skladiščenja, nadaljnja testirana pa šena dodatnih organizacijah in oskrbovalnih verigah iz prakse. Rezultat teh testiranj jeobsežen katalog prepoznanih tveganj, kjer je vsako tveganje uvrščeno v kategorije porazličnih dimenzijah, ki jih bomo podrobneje razložili v nadaljevanju. Ker je bilo testira-nje v organizacijah zelo dobro sprejeto, lahko sklepamo, da smo na pravi poti za dosegonašega cilja, ki je razviti široko uporaben model za upravljanje tveganj v oskrbovalnihverigah. Dodaten cilj predstavlja tudi dopolnjevanje spletnega kataloga tveganj, ki jeobjavljen pod Creative Commons licenco, kar dovoljuje vsem uporabnikom kataloga, daga prosto uporabljajo pri svojem delu ter z idejami, predlogi in dopolnitvami sodelujejopri njegovem nastajanju.

5.1 Model za ocenjevanje tveganj

Prvi korak pri procesu ocenjevanja tveganj je vedno prepoznavanje le-teh. Ta proces morabiti izpeljan zelo pazljivo ter biti čim bolj obsežen, da s tem zagotovimo prepoznanje čimveč tveganj in se izognemo spregledu pomembnih tveganj. V modelu je proces prepo-znavanja tveganj podprt s tremi metodami, ki jih priporoča tudi standard ISO 31010, toso odprt intervju, strukturiran intervju in vodeno viharjenje možganov (brainstorming).Usposobljeni strokovnjaki vodijo srečanja z zaposlenimi v določeni organizaciji, kjer jepoudarek na prepoznavanju tveganj. Ta tveganja so kasneje umeščena v model prekokategorizacije po različnih dimenzijah ter opisana.

Ker verjamemo, da sta prepoznavanje in analiza tveganj ključna procesa pri upravlja-nju tveganj, smo v model uvrstili več dimenzij, ki pomagajo pri opisovanju in definiranjutveganj in posledično omogočajo informiran pristop k upravljanju tveganj. Ko je po-samično tveganje prepoznano, ga z uvrstitvijo v posamezne dimenzije definiramo potemeljnih dimenzijah, ki so vključene v model. Kasneje v procesu je potrebno uvesti šedodatne dimenzije, ki so specifične za vsako organizacijo, torej jih v katalog tveganj, ki gaizdelujemo, nismo uvrstili. Takšne kompleksnejše dimenzije opisa tveganj so na primerodnosi in medsebojni vplivi med tveganji, specifične posledice, ki jih lahko organizacijiprinese uresničitev posameznega tveganja in podobno.

5.1.1 Segmentiranje tveganj po ISO 28000

Model, ki smo ga ustvarili, in tudi katalog, ki iz njega izvira, sta strukturirana tako,da sta komplementarna standardu za zagotavljanje varnosti v oskrbovalnih verigah ISO

5.1 Model za ocenjevanje tveganj 83

28000 in je opisan v tretjem poglavju. V tem standardu je definiranih več področij, kjerse lahko tveganja pojavljajo v organizaciji ali znotraj njene oskrbovalne verige. V prvemkoraku procesa ocenjevanja tveganj, kot smo ga zastavili v našem modelu, se tveganjarazvrstijo v skupine po ISO 28000, ki so:

1. Tveganja fizičnih odpovedi, kot npr. funkcionalne odpovedi opreme, naključneodpovedi, zlonamerne poškodbe, teroristična ali kriminalna dejanja.

2. Operativna tveganja, ki vključujejo nadzor varnosti, človeškega faktorja in ostaleaktivnosti, ki vplivajo na uspešnost, stanje in varnost organizacije.

3. Naravni okoljski dogodki (nevihte, poplave itd.), zaradi katerih lahko varnostniukrepi in prema postanejo manj učinkoviti.

4. Faktorji, ki niso pod nadzorom organizacije, kot npr. odpoved opreme ali storitev,ki jih izvajajo zunanji ponudniki.

5. Tveganja vseh zainteresiranih udeležencev organizacije, npr. nedoseganje regula-tornih zahtev ali zmanjšan ugled blagovne znamke.

6. Načrtovanje in instalacija varnostne opreme, vključujoč menjavo, vzdrževanje itd.

7. Upravljanje informacij, podatkov in komunikacije.

8. Grožnje kontinuiteti delovanja.

Opis nekega tveganja po dimenziji skupin ISO 28000 predstavlja prvo skupino opisov,ki jih zajema spletni katalog tveganj. Ker so nekatera tveganja bolj kompleksna, jih nemoremo uvrstiti v samo eno skupino, zato so nekatera tveganja uvrščena v dve skupini– primarno in sekundarno.

5.1.2 Segmentiranje tveganj glede na vpliv na sredstva lo-

gistike

Pri analiziranju logističnih tveganj se moramo zavedati, da znotraj logističnih procesovin procesov v oskrbovalnih verigah obstaja več sredstev oziroma virov, ki so ključni zaizvajanje logistike. Na podlagi raziskav ter posvetovanj s strokovnjaki s področja logistikesmo za potrebe modela in kataloga sestavili seznam štirih primarnih virov, brez katerihlogistični procesi ne morejo potekati. Ti so:


1. Tok blaga in/ali storitev mora biti upravljan od izvorne točke do porabne točke znamenom doseganja pričakovanj kupcev in potrošnikov.

2. Informacije so podatki (v vseh oblikah), ki predstavljajo vnos v informacijski sis-tem, ki jih obdela in tvori izhodne informacije, kot jih potrebuje organizacija [12].

3. Logistični infrastruktura in suprastruktura kot osnovne fizične in organizacijskestrukture, ki so potrebne za logistične operacije.

4. Ljudje so osebje, ki je potrebno za načrtovanje, organiziranje, pridobivanje, uva-janje, dostavljanje, podporo, nadzorovanje in ocenjevanje logističnih sistemov instoritev. Lahko so notranji, zunanji ali pogodbeni, odvisno od potreb organizacije.

Vsaka posledica tveganj, ki se pojavljajo v oskrbovalnih verigah, lahko vpliva naenega ali več sredstev logistike. Če želimo učinkovito upravljati tveganja, se je potrebnozavedati, na katere vire ima posamezno tveganje vpliv. Ravno zato smo v model uvrstilikategorijo, ki te vplive definira. Prav tako kot s kategorijami po ISO 28000 tudi v tejkategoriji velja, da lahko posamezno tveganje vpliva na več kot eno sredstvo logistike, zatosmo tudi pri tej kategoriji uvedli še kategorijo sekundarnega vpliva na sredstva logistike.

5.1.3 Segmentacija tveganj glede na nosilce tveganj – jav-

nosti

Segmenti javnosti so skupine ljudi, ki jih lahko identificiramo na podlagi njihovega za-nimanja za, odnosa do, ali trenutnega obnašanja glede na neko vprašanje. Kot takšnelahko ljudi (razdeljene na posamične javnosti) razumemo kot najpomembnejši del okolja,ki ga obravnavamo v procesu upravljanja tveganj. Pristop, kjer segmenti javnosti igrajoključno vlogo pri upravljanju tveganj, je nov v znanstveni tehnično orientirani literaturi.

Ker je vsak človek edinstven in drugačen od ostalih, se lahko tudi posameznikov od-nos do nekega tveganja, s katerim se srečuje, zelo razlikuje od odnosov ostalih do istegatveganja. Ravno zaradi tega imajo ljudje različne odnose in poglede na enako tvega-nje, kar je lahko rezultat različnih izpostavljenosti kot tudi različnih ocenjenih stopenjnegotovosti. Ta problem najpogosteje gledamo ne na primeru posameznika, temveč naprimeru posameznih skupkov ljudi, ki si delijo podobne značilnosti oziroma odnose donekega tveganja, to so segmenti javnosti.

Naš pristop temelji na predpostavki, da je tveganje sestavljeno kot je opisano v prej-šnjih poglavjih. S takšnim pristopom v modelu, in to v realnem primeru, opisujemo in

5.1 Model za ocenjevanje tveganj 85

ocenjujemo tveganja in njihove vplive drugače kot večina današnje literature. Temeljimona že opisaneni predspostavki, da lahko samo živa bitja čutijo in razumevajo sama sebe,medtem ko neživa bitja tega niso sposobna. Ugotovimo lahko , da v končni fazi tveganjaprizadenejo samo ljudi, katerih značilnost je dojemljivost za razumevanje. V skladu sto teorijo v modelu vse ljudi, ki so deležniki v oskrbovalni verigi ali njenem okolju, se-gmentiramo na javnosti, to je na skupine ljudi s skupnimi interesi ali funkcijami, sevedaz ozirom na določeno tveganje. Ko opisujemo tveganja v našem modelu, ena dimenzijapredstavlja natančno to – opis, katere javnosti določeno tveganje prizadene. Ta teorijaje v skladu z ISO 31000, kjer je kot eden izmed ključnih načel pri upravljanju tveganjopisano načelo: ’upravljanje tveganj upošteva človeške in kulturne faktorje. Prepoznavasposobnosti, razumevanje in namere zunanjih in notranjih ljudi, ki lahko pripomorejoali zavirajo doseganje ciljev organizacije’ [7]. Prav tako standard definira pomembnostkomuniciranja in posvetovanja z deležniki organizacije, kar naš model dosega prav zsegmentiranjem javnosti. ISO 31000 to pomembnost opisuje: ’Komunikacija in posve-tovanja z deležniki je pomembna, saj le-ti ocenjujejo tveganja glede na svoje percepcijetveganja. Te percepcije se lahko razlikujejo zaradi različnih vrednot, potreb, domnev,konceptov in skrbi deležnikov. Ker lahko imajo njihovi pogledi ključen vpliv na spreje-manje odločitev, morajo biti deležnikove percepcije prepoznane, zapisane in upoštevanev procesu odločanja.’ [7]

5.1.4 Segmentiranje tveganj glede na izvor

Oskrbovalna veriga je kompleksen sistem več organizacij, ki skupaj delujejo v določenemokolju, kjer se ’srečujejo z zunanjimi in notranjimi vplivi in faktorji, ki vplivajo na ne-gotovost glede doseganja ciljev organizacije’ [7]. Na podlagi obsega izvora posameznegatveganja lahko tveganja razdelimo po naslednji dimenziji, to je glede na izvor. V tejdimenziji tveganja delimo na skupine, ki izhajajo iz:

1. Opazovane organizacije, ki je vključena v oskrbovalno verigo;

2. Celotne opazovane oskrbovalne verige (ampak ne samo iz določene organizacije);ali

3. Iz zunanjega okolja, v kateri deluje oskrbovalna veriga.

Vsaka organizacija je odvisna od več tretjih oseb oziroma zunanjih organizacij. Kotdel oskrbovalne verige je organizacija navadno tesno povezana in odvisna od drugih or-ganizacij v določeni oskrbovalni verigi, manj pa z organizacijami zunaj nje. Zatorej mora


vsaka organizacija razumeti, da imajo nanjo organizacije, ki so povezane v oskrbno ve-rigo, določen vpliv, prav tako je opazovana organizacija vpliva na ostale organizacije vverigi. Zavedati se je potrebno, kot pravi tudi Andrew Steward, da odvisnosti same tudipomenijo tveganje, saj po definiciji drži, da če smo odvisni od nekoga, lahko ta delujetako, da bodo posledice tega delovanja imele negativni učinek na nas [25]. Isti avtorprepoznava tudi dejstvo, da odvisnosti pogosto niso prepoznane kot tveganja in jih neupoštevamo v procesu ocenjevanja tveganj ali jih ignoriramo zaradi političnih razlogov;ta tveganja so hkrati bolj subtilna in se pojavljajo samo pri analizi poslovnih procesov,ne pa pri analizi tehnoloških komponent ali infrastrukture.

5.1.5 Segmentiranje tveganj glede na poslovno ali tehnolo-

ško dejavnost

Vse dejavnosti znotraj organizacije lahko opišemo kot pretežno tehnološke ali pretežnoposlovne. V skladu s tem lahko tudi tveganja opišemo kot pretežno poslovna ali pretežnotehnološka, neizogibno pa se pojavijo tudi nekatera tveganja, ki imajo značilnosti obeh,torej jih opišemo kot univerzalna. Ta opis predstavlja še dodatno dimenzijo v našemmodelu.

Seznam prepoznanih tveganj, njihove definicije po dimenzijah in dodatni opisi skupajtvorijo bazo za katalog tveganj v oskrbovalnih verigah, ki je prosto dostopen in objavljenna internetu. Katalog je podrobneje opisan v nadaljevanju.

5.1.6 Nadaljnje definicije, ki so potrebne pri procesu oce-

njevanja tveganj

Kot smo že omenili, so v procesu prepoznavanja, analize in ocenjevanja tveganj v spe-cifični organizaciji potrebne še dodatne dimenzije, ki jih moramo uvesti, da dosežemopopolno razumevanje tveganj, njihovih povezav in vplivov. Te dimenzije so kratko opi-sane v nadaljevanju, v domeni vsake posamezne organizacije, ki se loteva ocenjevanjatveganj s pomočjo našega modela pa je, da jih implementira.

Zavedati se je potrebno, da so oskrbovalne verige prav tako raznolike kot današnji trgpotrošnih dobrin. Na podlagi tipa dobrin ali storitev, ki jih dobavlja oskrbna veriga, lahkotveganja definiramo po dodatni dimenziji. Nekatera tveganja se pojavljajo univerzalno vvseh oskrbovalnih verigah, nekatere oskrbovalne verige pa imajo svoja specifična tveganja,na primer hladne verige, proizvodnja in prodaja nevarnih snovi in podobno.

5.2 Katalog tveganj v oskrbovalnih verigah 87

Pri vrednotenju tveganj moramo med drugim definirati tudi njihov vpliv na specifičnejavnosti. Zavedati se je potrebno, da vsako tveganje na svoj način vpliva na neko javnostiter da ta vpliv vsaka javnost drugače sprejema. Z analizo vplivov z ozirom na javnostidosežemo boljši vpogled v posledice tveganja. Tu ne gre za isto dimenzijo ali isti postopekkot pri sami segmentaciji javnosti – ta dimenzija je poglobljena in išče tudi vplive inučinke tveganja na javnosti.

V realnih situacijah so tveganja in njihovi vplivi velikokrat odvisni od časa, v kateremse pojavijo. Zato mora model za ocenjevanje tveganj vključevati tudi dimenzijo časa, ki vproces prinaša nedeterminizem. V nekaterih časovnih okvirjih je lahko tveganje neznatno,medtem ko je isto tveganje v drugem časovnem okvirju ključno za uspešno poslovanjeorganizacije. V kolikor so takšni časovni okvirji prisotni, morajo biti v fazi ocenjevanjatveganj definirani, da pridobimo pregled nad spreminjanjem tveganja skozi čas.

Za vsako tveganje je potrebno določiti mejo sprejemljivosti. Pri tem moramo upo-števati tudi časovno komponento, kjer je prisotna, da polno zajamemo vse nivoje poten-cialnega vpliva in znotraj njih pravilno določimo mejo sprejemljivosti.

Prepoznati moramo, da noben proces v organizaciji ne more potekati neodvisno odostalih procesov. Enako velja za katero koli tveganje – nikoli ne obstaja tveganje, kije izolirano in nima vpliva na procese znotraj organizacije in tudi znotraj oskrbovalneverige. Zato je potrebno definirati medsebojne odvisnosti med tveganji, kar predstavljanaslednjo dimenzijo organizacijsko specifičnega definiranja tveganj.

Splošna ideja upravljanja tveganj je, da mora imeti vsako prepoznano tveganje do-deljeno osebo ali skupino ljudi, ki so zadolženi za njegovo upravljanje in jih po navadiimenujemo lastniki tveganja. ISO 31000 definira lastnika tveganja kot „osebo ali enti-teto z odgovornostjo in avtoriteto za upravljanje tveganja”. Hkrati definira, da „moraorganizacija zagotoviti, da obstajajo odgovornost, avtoriteta in primerne kompetence zaupravljanje tveganj, ki omogočajo uvajanje in vzdrževanje kontrol za upravljanje tveganjin zagotavljajo primernost, učinkovitost in uspešnost teh kontrol.” [7]. Z določitvijo spe-cifične osebe, ki je odgovorna za določeno tveganje, dosežemo višjo stopnjo zavedanjapri tistih, ki morajo biti vključeni v proces upravljanja tveganj znotraj organizacije alioskrbovalne verige.

5.2 Katalog tveganj v oskrbovalnih verigah

Končni produkt konvencionalnega prepoznavanja in ocenjevanja tveganj je katalog tve-ganj v oskrbovalnih verigah [18], ki vsebuje vsa prepoznana in opisana tveganja v določeni


organizaciji. Težimo k temu, da vsa ta tveganja zberemo v katalog, ki je razširjen naraven celotne oskrbovalne verige oziroma na raven več oskrbovalnihih verig in je hkratijavno dosegljiv preko objavljenega spletnega kataloga tveganj v oskrbovalnih verigah, sčimer postane pomembno in uporabno orodje pri upravljanju tveganj. Proces upravlja-nja tveganj je velikokrat počasen in ne dovolj natančen, naša ideja prosto dostopnegakataloga vseh do sedaj prepoznanih tveganj pa organizacijam nudi možnost, da pri pro-cesu uporabijo tudi zunanja znanja, ko se lotevajo upravljanja tveganj. Katalog tveganjvsebuje logistična tveganja, ki so bila prepoznana v organizacijah z različnih področijdelovanja, ravno zato je lahko odličen vir informacij za širok spekter organizacij, ki pri-stopajo k upravljanju tveganj, saj ga lahko uporabljajo kot smernice za prepoznavanjetveganj in kot kontrolni seznam ali odkljuknico, s katero ugotovijo, katera od že identi-ficiranih tveganj lahko prepoznajo tudi znotraj svoje organizacije. Uporabo odkljuknicekot pripomočka pri ocenjevanju tveganj priporoča tudi standard ISO 31010, ki jo defi-nira kot „seznam nevarnosti, tveganj ali napak pri kontrolah , ki je navadno sestavljenna podlagi izkušenj, najsi bo kot rezultat prejšnjih procesov upravljanja tveganj ali kotrezultat preteklih napak ali škodnih dogodkov” [8]. Na podlagi tega lahko ugotovimo, daje katalog, ki ga uvajamo, v skladu z načeli ISO 31010 in s celotno družino ISO 31000standardov.

Potreba po takšnem katalogu logističnih tveganj je lahko vidna iz različnih perspektiv.Tudi ISO 31000 definira končni rezultat procesa prepoznavanja tveganj kot „obsežen se-znam tveganj, ki vključuje dogodke, ki lahko povzročijo, povečajo, preprečijo, poslabšajo,pospešijo ali povzročijo zamudo pri doseganju ciljev organizacije” [7]. Organizacija lahkopristopi k procesu upravljanja tveganj samostojno, vendar velikokrat zaradi prevelikegaobsega potrebnih aktivnosti k njemu ne pristopijo in se odločijo, da bodo obstoj tveganjin njihovo upravljanje spregledali. S pomočjo kataloga kot vira izkušenj in odkljukniceje velik korak v procesu ocenjevanja tveganj že narejen, kar omogoča organizaciji pristopk celovitemu upravljanju tveganj z manj preprekami in z več znanja. Vidimo lahko, dakatalog, ki je trenutno edinstven v svetu, predstavlja ključen napredek pri upravljanjutveganj v logistiki na svetovnem nivoju.

Ker verjamemo, da mora biti vir s takšno pomembnostjo prosto dostopen vsem po-tencialnim uporabnikom, je objavljen pod licenco Creative Commons, ki uporabnikomdovoljuje, da katalog prosto gledajo, nalagajo in delijo, ne smejo pa ga spreminjati brezodobritve in uporabljati za pridobitne namene, seveda pa morajo pri tem primerno navestiavtorja kataloga. Licenca, pod katero je objavljen, se imenuje ’Attribution – NonCom-mercial – NoDerivs. Ker je naša filozofija za katalogom takšna, da je to publikacija, ki

5.3 Zaključna diskusija o Katalogu 89

iz dneva v dan raste in se spreminja, verjamemo, da je potrebno omogočiti vsem upo-rabnikom, da h katalogu prispevajo, ga komentirajo ali predlagajo dodatke. Zato vseuporabnike spodbujamo, da svoje predloge posredujejo uredniškemu odboru, ki predlogeoceni in jih nato vnese v katalog, če so primerni. Pripombe se sprejemajo preko ele-ktronskega naslova [email protected]. Upamo, da bomo s tem dosegli širokinteres za uporabo kataloga med strokovnjaki s področja oskrbovalnih verig, hkrati padodatno povečali njegovo kakovost in obseg. Vsak vodilni v oskrbovalnih verigah se morazavedati pomembnosti sodelovanja med organizacijami. Ena sama organizacija nikoli nemore prepoznati toliko tveganj, kot jih lahko skupina organizacij, še posebej kadar govo-rimo o tveganjih v oskrbovalnih verigah. Naš cilj je zato povezati strokovnjake s celegasveta in vzpostaviti skupnost z enotnim ciljem – zagotavljati nova znanja na področjuocenjevanja logističnih tveganj in izpolnjevati katalog tveganj.

Katalog je dosegljiv na spletnem naslovu http://labinf.fl.uni-mb.si/risk-catalog. Tu jepodan obsežen seznam do sedaj prepoznanih tveganj, ki so opisana po zgoraj definiranihdimenzijah. Dodatno so podani opisi dimenzij in šifranti kategorizacije. Pri vsaki šifrikategorije znotraj dimenzije so podana tudi vsa tveganja, ki se uvrščajo v to kategorijo,da je katalog lažje pregleden tudi po posameznih kategorijah.

Spletna stran kataloga vsebuje štiri zavihke. Prvi je pozdravni (Welcome) z osnov-nimi informacijami o katalogu. Drugi predstavlja podatke (Data), kjer so navedena vsazaznana tveganja. Seznam teh tveganj se sproti dopolnjuje. Tveganja je mogoče sortiratipo vseh kategorijah. Sledi zavihek z opisom modela (Model). Zadnji vsebuje vse ključneinformacije o samem katalogu – to je kolofon kataloga, o Creative Commons License ins povabilom za sodelovanje pri dopolnjevanju kataloga s podatki in razvijanjem modela.

Slika 5.1 prikazuje del zavihka s podatki o tveganjih, medtem ko slika 5.2 prikazujedel strani, kjer je opsian sam model, na katerem je katalog izdelan.

5.3 Zaključna diskusija o Katalogu

Na podlagi današnjih negotovih tržnih pogojev, zahtev globalizacije in vedno večjih zu-nanjih groženj lahko zaključimo, da lahko samo z učinkovitim upravljanjem tveganj voskrbovalnih verigah zagotovimo kontinuiteto poslovanja organizacije. Upravljanje tve-ganj mora predstavljati prioriteto v vsaki organizaciji in mora biti vključeno v vse vidikeposlovanja, če želimo zagotoviti njegovo uspešnost in učinkovitost. Vodilni se morajozavedati groženj, ki pretijo organizaciji, prav tako pa morajo poznati in implementiratiorodja, s katerimi jih lahko upravljamo in obvladujemo.

http://labinf.fl.uni-mb.si/risk-catalog


Slika 5.1: Izsek strani na zavihku s podatki v Katalogu tveganj oskrbovalnih verig

Naš model za ocenjevanje tveganj dovoljuje vodilnim, da k upravljanju tveganj pristo-pijo na poenostavljen način, kjer so vsi potrebni koraki opisani, hkrati pa že imajo tudirazdelan osnovni seznam potencialnih tveganj. Spletni katalog tveganj v oskrbovalnihverigah, ki je prosto dostopen vsem, uporabnikom nudi enostavno odkljuknico s tveganji,kot so jih prepoznali in definirali strokovnjaki s področja logistike. Med ocenjevanjemtveganj v specifični organizaciji je potrebno dodati še nekaj dimenzij, ki jih ni mogoče po-splošiti in zatorej niso v obsegu kataloga. S tem dosežemo dodatno razumevanje tveganjin boljši izhodiščni vhod v procese upravljanja tveganj. Verjamemo, da razvit model inposledični katalog, še posebej z uvedbo težišča na ljudi in javnosti, predstavljata izjemenvir za upravljanje tveganj v vseh organizacijah in oskrbovalnih verigah.

Ker verjamemo, da lahko skupina strokovnjakov v večjem obsegu zagotovi potrebnaznanja in izkušnje, na podlagi katerih lahko izpopolnimo model in katalog, je spletnikatalog z opisom modela prosto dostopen preko spleta. Managerje in ostale strokovnjakes področja logistike in upravljanja tveganj spodbujamo, naj pri svojem delu uporabljajokatalog, v zameno pa nam sporočijo svoje pripombe, ideje in dopolnitve, da bomo skupajdosegli vedno boljši in popolnejši spletni katalog tveganj v oskrbovalnih verigah.

5.3 Zaključna diskusija o Katalogu 91

Slika 5.2: Izsek strani na zavihku z opisom modela v Katalogu tveganj oskrbovalnihverig


Literatura

[1] BusinessDictionary.com. Risk. http://www.businessdictionary.com/

definition/risk.html, nov 2014. [Online; accessed 21. november 2014].

[2] Adam Greene. A process approach to project risk management. Department ofCivil and Building Engineering, Loughborough University, 2009. [Online; accessed21. november 2014].

[3] Glyn A. Holton. Defining risk. Financial Analyst Journal, 60(6), 2004.

[4] InvestorWords.com. Risk. http://www.investorwords.com/4292/risk.html, nov2014. [Online; accessed 21. november 2014].

[5] Enterprise Value: Governance of IT Investments, The Val IT Framework 2.0. ITGovernance Institute, 2008.

[6] ISO. ISO 28000:2007; Specification for security management systems for the supplychain. ISO, 2007.

[7] ISO. ISO 31000:2009; Risk management – Principles and guidelines. ISO, 2009.

[8] ISO. ISO 31010:2009; Risk management – Risk assessment techniques. ISO, 2009.

[9] ISO. ISO Guide 73:2009; Risk management – Vocabulary. ISO, 2009.

[10] ISO. ISO/IEC 27005:2011; Information technology – Security techniques – Infor-mation security risk management. ISO, 2011.

[11] ISO. ISO/IEC 27001:2013; Information technology – Security techniques – Infor-mation security management systems – Requirements. ISO, 2013.

[12] Borut Jereb. Zadolževanje informacijskih virov. pages 237–24. Ljubljana: Sloven-ski inštitut za revizijo, 2002. 10. mednarodna konferenca o revidiranju in kontroliinformacijskih sistemov.

http://www.businessdictionary.com/definition/risk.html

http://www.businessdictionary.com/definition/risk.html

http://www.investorwords.com/4292/risk.html

94 LITERATURA

[13] Borut Jereb. Segmenting risks in risk management. pages 465–475. Ljubljana:Slovenian Society Informatika, Section for Operational Research, 2008. Celje; Krško:Faculty of Logistics, 2008.

[14] Borut Jereb. Upravljanje it investicij. pages 7–22. Ljubljana: Slovenski inštitut zarevizijo, 2008. 16. mednarodna konferenca o revidiranju in kontroli informacijskihsistemov.

[15] Borut Jereb. Upravljanje it investicij s pomočjo val it. Ljubljana: Slovensko društvoInformatika, 2008. Dnevi slovenske informatike 2008 - DSI, Portorož, Slovenija, 09.-11. april.

[16] Borut Jereb. Princip modeliranja tveganj s segmentacijo javnosti pri upravljanjuprocesov. Uporabna informatika, 18(2):90 – 100, 2010.

[17] Borut Jereb. Risk assessment model respecting segments of the public. Montenegrinjournal of economics, 9(3):75–94, 2013.

[18] Borut Jereb and Tina Cvahte. Risk catalog. http://labinf.fl.uni-mb.si/

risk-catalog, 2012. [Online; accessed 25. november 2014].

[19] Borut Jereb, Tina Cvahte, and Bojan Rosi. Val it v logistiki = val it in logistics.Economics & economy, 1(2):91–109, 2013.

[20] Borut Jereb, Teodora Ivanuša, and Bojan Rosi. Systemic thinking and requisiteholism in mastering logistics risks : the model for identifying risks in organisationsand supply chain. Amfiteatru economic, 15(33):56–73, 2013.

[21] Borut Jereb and Mateja Škornik. Upravljanje informacijskih tveganj po iso/iec27005:2008. pages 9–28. Ljubljana: Slovenski inštitut za revizijo, 2009. 17. medna-rodna konferenca o revidiranju in kontroli informacijskih sistemov.

[22] Frank Knight. Risk, Uncertainty, and Profit. New York: Hart Schafner, and Marx,1921.

[23] Johnathan Mun. Modeling Risk: Applying Monte Carlo Simulation, Real OptionsAnalysis, Forecasting, and Optimization Techniques. Wiley - Finance, 2006.

[24] Steven J. Ross. Four little words. ISACA Journal, 1, 2009.



LITERATURA 95

[25] Andrew Steward. On risk: Perception and direction. Computers & Security, 23:362–370, 2004.

[26] Risk. https://en.wikipedia.org/wiki/Risk, nov 2014. [Online; accessed 21.november 2014].

https://en.wikipedia.org/wiki/Risk

Documents

Upravljanje tveganj - labinf.fl.uni-mb.silabinf.fl.uni-mb.si/upravljanje-tveganj/upravljanje-tveganj.pdf · 14 Uvod kijenevtralendokakršnegakoliposlovanjaorganizacije. Predstavljadobroizhodiščeza